기술 지원
문서
로그인
문의하기
넷필터 코드의 취약점으로 인해 로컬 권한 상승 가능
2022년 2월 23일 TuxCare 홍보팀
사실 IT 업계의 많은 고급 기술은 대부분 기존 기능 위에 구축되어 있습니다. 컨테이너가 대표적인 예입니다. 이 경량 가상화 계층은 무엇보다도 C그룹에 크게 의존하는 기반 위에 구축됩니다. 제어 그룹이라고도 하는 C그룹은 메모리, CPU 또는 네트워킹과 같은 특정 시스템 구성 요소를 액세스 수준별로 분리할 수 있는 추상화입니다. 이는 시스템에서 실행 중인 특정 프로세스로부터 시스템의 일부를 숨기고 일부 프로세스를 나머지 시스템 또는 컨테이너 내부에서 "격리"하여 실행할 수 있도록 하는 데 유용합니다.
그러나 이러한 기술 계층화는 몇 가지 위험을 수반합니다. 기본 구성 요소 중 하나에 영향을 미치는 취약점이 나타나면 전체 스택이 잠재적으로 취약해질 수 있습니다. 최근에 공개된 CVE-2022-25636은 cgroups의 네트워킹 코드에 영향을 미치는 취약점입니다. 이 취약점은 Kernel 4.18.0-240.el8 이상을 실행하는 배포판(RHEL 8 및 AlmaLinux 8, CentOS 8, Oracle EL 8, Ubuntu 등의 파생 배포판)에 영향을 미칩니다. 로컬 사용자의 권한 에스컬레이션을 허용합니다. KernelCare Enterprise 패치는 곧 제공될 예정이며, 이 게시물은 제공 여부가 결정되는 대로 업데이트될 예정입니다.
실제 문제는 Linux Kernel 소스 코드 트리의 net/netfilter/nf_dup_netdev.c 파일에 있는 nft_fwd_dup_netdev_offload 함수에 존재합니다. 이 코드는 네트워크 패킷 관리를 담당하는 코드인 netfilter의 일부로, iptables 방화벽 기술과 같은 일반적인 기능을 뒷받침합니다. 이 특정 코드는 주로 네트워크 cgroups의 컨텍스트에서 사용되며, 컨테이너는 다른 컨테이너와 호스트 시스템 간의 네트워크 트래픽 분리를 가능하게 하는 컨테이너에 의해 차례로 사용됩니다.
로컬 사용자가 이 함수에서 범위를 벗어난 메모리 액세스를 트리거하여 특정 메모리 위치를 손상시킬 수 있다는 사실이 발견되었습니다. 원래 취약점 보고서에는 이 문제를 보여주는 익스플로잇 코드와 로컬 권한 상승을 가능하게 하는 익스플로잇 코드가 포함되어 있었습니다. 이 취약점은 취약점의 영향력과 악용의 용이성, 쉽게 구할 수 있는 익스플로잇 코드의 존재를 반영하여 7.8점(CVSS 3)을 부여받았습니다.
영향을 받는 코드는 Linux Kernel 버전 5.4와 함께 도입되었지만, 정상적인 지원 프로세스의 일환으로 Enterprise Linux 8 배포판 제품군(RHEL 8, CentOS 8, AlmaLinux 8 등)에 포함된 것과 같은 이전 버전으로 백포트되었습니다. 이러한 경우 실행 중인 Kernel 버전이 4.18.0-240.el8 이상인지 확인할 수 있으며, Kernel 버전이 4.18.0-240.el8 이상인 경우 시스템에 취약한 것입니다.
패치가 제공될 때까지 영향을 받는 시스템에 적용할 수 있는 완화 조치가 있지만, 이는 영향을 받는 기능이 중요하지 않다는 전제 조건이 있습니다. 시스템에서 컨테이너를 실행 중인 경우 영향을 받게 되므로 이러한 완화 조치의 장단점을 비교하여 최선의 판단을 내려야 합니다. 실행을 통해 영향을 받는 기능을 피할 수 있습니다:
| echo 0 > /proc/sys/user/max_user_namespaces |
이 변경 사항은 시스템 재부팅 시 되돌아갑니다. 이 기능을 비활성화하는 보다 상세하고 영구적인 방법은 여기에서 완화 섹션을 참조하세요. 다시 한 번 강조하지만, 이 기능은 일반 컨테이너 실행에 영향을 미치므로 이 기능이 허용되는 경우에만 배포해야 합니다. 예를 들어, 시스템에서 컨테이너화된 워크로드를 실행하지 않는 경우입니다.
지원되는 배포판 및 영향을 받는 배포판에 대한 라이브 패치가 준비 중이며 향후 며칠 내에 KernelCare Enterprise 서비스 구독자에게 제공될 예정입니다. 이 게시물은 각 배포판에 대한 개발 및 테스트가 완료되는 대로 실제 패치 가용성을 반영하여 업데이트될 예정입니다.
가동 시간에 영향을 주지 않으면서 시스템 보안을 강화하는 KernelCare Enterprise 및 기타 TuxCare 제품에 대한 자세한 내용은 https://tuxcare.com/live-patching-services/ 에서 확인하세요.
