메인 콘텐츠로 건너뛰기
블로그보안리노드 보안 다이제스트 2022년 5월 29일~6월 5일

Linode Security Digest May 29-June 5, 2022

리노드 시큐리티 다이제스트

이번 주 보안 다이제스트에서는 오픈 소스 프로젝트와 Windows에서 발견된 다양한 문제와 취약점에 대해 설명합니다.

넷필터 하위 시스템에서 리눅스 커널 사용 후 무료화

Linux 커널 넷필터 하위 시스템에서 사용 후 무료 쓰기 취약점이 발견되었습니다. 이 문제를 트리거하려면 시스템에 사용자/넷 네임스페이스를 생성할 수 있는 권한이 필요하며, 이 취약점을 악용하여 영향을 받는 시스템에서 루트로 권한 상승을 달성할 수 있습니다.

취약점은 표현식을 파괴하기 전에 집합의 바인딩 목록에서 표현식을 제거하지 못하는 것과 관련이 있습니다. 이는 여러 표현식에 영향을 미치지만, 최소한 '조회' 및 '딘셋' 표현식에는 영향을 미치지 않는 것으로 밝혀졌습니다.

이 작업은 설정된 바인딩 목록을 이후에 사용할 때마다 링크 포인터 주소를 이미 해제되어 재할당되었을 가능성이 있는 슬래브 객체에 쓰게 되는 상태를 만듭니다. 이 취약점에 대한 자세한 내용은 연구자가 공개한 원본을 참조하세요. 이 취약점을 완화하는 패치는 2022년 5월 26일에 적용되었습니다.

"ctx" 및 "phpass"를 사용한 소프트웨어 공급망 공격

오픈 소스 생태계를 겨냥한 소프트웨어 공급망 공격을 수행하는 두 개의 악성 Python 및 PHP 패키지가 발견되었습니다. 패키지 중 하나는 PyPi 리포지토리에서 사용할 수 있는 Python 모듈인 "ctx"입니다. 다른 하나는 악성 업데이트를 배포하기 위해 GitHub에서 포크된 PHP 패키지인 "phpass"입니다.

악성 업데이트는 2022년 5월 21일에 "ctx"에 도입되었습니다. 두 패키지 모두 유지 관리되지 않으며 "ctx"의 경우 2014년 12월 19일에, "phpass"의 경우 2012년 8월 31일에 마지막 합법적인 업데이트가 릴리스되었습니다. 이 수정의 핵심은 AWS 자격 증명을 Heroku URL로 유출하도록 설계되었으며, 공격자는 모든 환경 변수를 획득하고 Base64로 인코딩하여 공격자가 제어하는 웹 앱으로 데이터를 전달하려고 시도하는 것으로 보입니다.

범인은 만료된 도메인을 구매하고 비밀번호 재설정 링크를 전송하여 관리자가 사용하지 않는 PyPi 계정을 탈취할 수 있었습니다. 

Follina - Windows의 Microsoft 지원 진단 도구(MSDT)의 RCE 취약점

원격 코드 실행 취약점은 Word와 같은 호출 애플리케이션에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 존재합니다. 이 악성 문서는 Word 원격 템플릿 기능을 사용하여 원격 웹 서버에서 HTML 파일을 검색하고, 그 후 ms-msdt MSProtocol URI 체계를 사용하여 일부 코드를 로드하고 일부 PowerShell을 실행합니다. CVE-2022-30190 제로 데이는 Office 제품에서 코드 실행을 허용합니다.

이 취약점을 성공적으로 익스플로잇한 공격자는 호출 애플리케이션의 권한으로 임의의 코드를 실행할 수 있습니다. 그러면 공격자는 사용자 권한이 허용하는 범위에서 프로그램을 설치하거나, 데이터를 보거나 변경 또는 삭제하거나, 새 계정을 만들 수 있습니다.

Microsoft는 이 결함이 아직 보안 업데이트를 받고 있는 모든 Windows 버전(Windows 7+ 및 Server 2008+)에 영향을 미친다고 말합니다. 공급업체에 따르면 관리자와 사용자는 악의적 공격자가 취약한 시스템에서 문제 해결사를 실행하고 코드를 실행하는 데 사용하는 MSDT URL 프로토콜을 비활성화하여 CVE-2022-30190을 악용하는 공격을 차단할 수 있습니다. Windows 디바이스에서 MSDT URL 프로토콜을 비활성화하려면 Microsoft의 보안 지침을 참조하세요. Microsoft에서 패치를 릴리스한 후에는 해결 방법을 실행 취소하고 권장 패치를 적용할 수 있습니다. 

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *