메인 콘텐츠로 건너뛰기
블로그보안리노드 보안 다이제스트, 2022년 5월 23~29일

Linode Security Digest May 23-29, 2022

리노드 시큐리티 다이제스트

이번 주 다이제스트의 주제는 Linux Perf 하위 시스템의 경쟁 조건, BIND의 서비스 거부, OWASP의 위험 등급 방법론에 기반한 위험 평가 계산기입니다.

Linux Perf 하위 시스템의 경쟁 조건

Linux의 Perf 서브시스템은 하드웨어 및 소프트웨어 성능 분석 및 모니터링을 위한 프레임워크를 제공하는 커널 기반 서브시스템입니다. 원래는 2.6.31 버전에서 Linux 커널에 병합되었으며 커널 하위 시스템과 인터페이스하는 사용자 공간 유틸리티(perf)가 있습니다. 사용자 공간 perf 도구는 하드웨어 이벤트(CPU의 레지스터에서 실행되는 컨텍스트 스위치 및 명령어)와 소프트웨어 이벤트(소프트웨어 카운터 및 트레이스포인트를 통해)를 기록, 계산,b 및 샘플링할 수 있습니다.

CWE-362로 분류된 취약점 CVE-2022-1729는 perf_event_open 시스콜의 경쟁 조건이며 Norbert Slusarek에 의해 발견되었습니다. 매뉴얼 페이지에 따르면, "perf_event_open()을 호출하면 성능 정보를 측정할 수 있는 파일 설명자가 생성됩니다. 각 파일 기술자는 측정되는 하나의 이벤트에 해당하며, 이를 함께 그룹화하여 여러 이벤트를 동시에 측정할 수 있습니다."

이 경합 조건은 커널 v4.0-rc1부터 존재했던 것으로 보이며, 권한 상승 및 임의 코드 실행을 초래할 수 있습니다. 이 취약점에 대한 패치는 Linux 커널 5.17.10-rc1 릴리스 주기의 일부입니다.

또한 RedHat의 완화 방법은 권한이 없는 사용자가 커널의 Perf 하위 시스템에 액세스하는 것을 제한하기 위해 sysctl을 통해 kernel.perf_event_paranoid 변수를 '3'으로 설정하는 것을 제안합니다. 

BIND의 서비스 거부

ISC는 지난주 BIND 버전 9.18.0~9. 18.29.19 개발 브랜치 v9.19.0에 영향을 미치는 심각도가 높은 취약점에 대한 보안 권고문을 발표했습니다. 토마스 암가튼이 처음 발견한 이 취약점은 네트워크를 통해 악용될 수 있으며, ISC에서 7.0의 CVSS 점수를 부여받았습니다.

특정 상황에서 익스플로잇에 성공하면 http TLS 수신기에 대한 클라이언트 TLS 연결이 너무 일찍 파괴되면 네임드 데몬이 어설션 실패(서비스 거부로 이어짐)와 함께 종료됩니다. 취약한 시스템은 DNS over HTTPS가 활성화되어 있고 네임드 구성의 수신 대기 문에 http에 대한 참조를 포함하는 BIND 서버로 구성됩니다. DNS over TLS만 사용하는 구성은 권고에 따라 이 취약점의 영향을 받지 않습니다. 

현재 알려진 해결 방법은 없지만 ISC는 이 문제를 완화하기 위해 안정 버전에서는 v9.18.3으로 , 개발 버전에서는 v9.19.1로 각각 업그레이드할 것을 권장하고 있습니다.

위험 평가 계산기

취약점 관리 수명 주기에서는 조직의 인프라에 영향을 미칠 수 있는 새로운 취약점과 관련된 기술적 및 비즈니스 영향을 추정하는 것이 중요합니다. 

위험 평가 방법론은 악용 가능성, 공격자의 기술 수준, 발견의 용이성 등 다양한 요소를 고려합니다. 

이러한 요소를 기반으로 전반적인 위험 심각도를 계산하는 방법론 중 하나가 OWASP의 방법론입니다.

OWASP의 위험도 평가 방법론을 기반으로 하는 Ivan Markovic의 위험도 평가 계산기는 오픈 소스 도구로 제공됩니다. 위험도는 다음과 같이 계산됩니다:

위험 = 가능성 * 영향

위의 공식에서 악용 가능성은 관련 고려 사항을 추가로 고려하는 몇 가지 요소에 따라 달라집니다:

  • 위협 행위자: 기술 수준, 동기, 기회, 위협 행위자의 규모.
  • 취약성 요인: 발견 및 익스플로잇의 용이성, 취약성에 대한 인식, 침입 탐지 시스템에 의한 익스플로잇 탐지.

마찬가지로 취약점의 전반적인 영향에 영향을 미치는 요인에는 다음이 포함됩니다:

  • 기술적 영향 요인: 위협 행위자의 행동에 대한 기밀성, 무결성, 가용성 및 책임성 손실.
  • 비즈니스 요인: 재정 및 평판 손상, 규정 미준수, 개인정보 보호 위반.

따라서 취약점의 전체 위험 점수를 통해 소유자는 정보에 입각한 결정을 내릴 수 있고 패치의 우선순위를 정하는 데 도움이 됩니다.

계산기의 소스 코드는 github에서 확인할 수 있으며, OWASP의 위험 평가 방법론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.


내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *