Linode Security Digest August 14-21, 2022

이번 주 보안 다이제스트 의 주제는 다음과 같습니다.

• Linux 커널의 메모리 하위 시스템의 경쟁 조건;
• Zimbra에서 제로 데이로 이어지는 UnRAR 소프트웨어의 경로 통과 취약점; 그리고 
• 인텔 CPU에서 아키텍처 버그를 발견했습니다.

Linux 커널 취약성(CVE-2022-2590)

Red Hat의 David Hildenbrand는 VMware의 Amit Nadav와 함께 최근 Linux 커널 버전 5.16 이상에서 공격자가 공유 메모리(shmem/tmpfs) 파일의 내용을 수정할 수 있는 취약점을 발견했습니다. "tmpfs/shmem으로 제한되는 Dirty COW 취약점"이라는 이름의 이 결함(CVE-2022-2590)을 통해 로컬 인증 사용자는 Linux의 메모리 관리 하위 시스템에 있는 기록 중 복사 메커니즘의 경쟁 조건을 악용하여 시스템에 대한 권한을 에스컬레이션할 수 있습니다. x86-64 및 aarch64 플랫폼이 영향을 받습니다.

Copy-on-write는 데이터베이스, 파일 시스템 및 운영 체제와 같은 다양한 시스템에서 구현되는 리소스 관리 전략입니다. 간단한 설명은 다른 프로세스가 메모리의 동일한 리소스 / 객체에 액세스하고 프로세스가 공유 리소스에 쓰려고하면 페이지 폴트가 발생하고 커널이 쓰기 프로세스를위한 리소스의 새 개인 복사본을 생성한다는 것입니다. 이렇게 하면 데이터가 손상되고 공유 리소스에 대한 모든 쓰기가 다른 프로세스에 표시되는 것을 방지할 수 있습니다. 이 취약점의 영향은 /tmp, /var/lock, /var/run 및 /dev/shm 디렉토리를 탑재하는 데 가장 일반적으로 사용되는 tmpfs 파일 시스템으로 제한되는 것으로 보입니다. 

악용을 위한 전제 조건은 커널이 CONFIG_USERFAULTFD=y로 컴파일되어 사용자 공간 프로세스가 userfaultfd 시스템 호출을 통해 페이지 폴트를 처리할 수 있도록 하는 것입니다.

자세한 내용은 업스트림 커밋 패치에서 찾을 수 있습니다.

UnRAR의 경로 통과 취약점

UnRAR 소프트웨어의 유닉스/리눅스 버전에서 경로 통과 취약점이 6월 말 소나소스 연구원인 사이먼 스캔넬에 의해 발견되었습니다. CVE-2022-30333으로 추적되는 이 취약성은 사용자 또는 서비스가 악의적으로 제작된 RAR 아카이브를 추출하려고 할 때 악용되어 대상 추출 폴더 외부에 파일이 생성될 수 있습니다.

Zimbra는 Linux에서 사용할 수 있는 인기 있는 협업 소프트웨어이자 이메일 플랫폼입니다. 서버에서 패치되지 않은 UnRAR 설치를 악용하는 지속적인 제로 데이 공격 캠페인의 일부입니다. 이로 인해 미국 사이버 보안 및 인프라 보안국 (CISA)은 UnRAR의 결함을 알려진 악용 된 취약점 카탈로그에 추가했습니다. 

SonarSource 블로그에 따르면 위협 행위자는 악성 .rar 첨부 파일이 포함된 이메일을 Zimbra 인스턴스에 보낼 수 있으며, 이메일은 들어오는 메시지를 구문 분석하고 확인하는 Amavis 서비스를 통과합니다. 또한 이 서비스는 이메일 첨부 파일을 추출하여 스팸 또는 맬웨어가 있는지 확인할 수 있으므로 사용자 상호 작용이 필요하지 않습니다. Amavis는 UnRAR에 의존하여 .rar 첨부 파일을 추출하므로 공격자는 UnRAR의 취약성을 악용하여 Zimbra 인스턴스를 손상시켜 대상 시스템에 임의의 파일을 삭제하거나 원격 코드 실행을 달성할 수 있습니다.

UnRAR의 취약점은 소스 코드 버전 6.1.7에서 RarLab에 의해 해결되었으며 버전 6.12에서 패치되었습니다. Zimbra는 서비스 및 플랫폼에 대한 최신 업데이트 의 결함을 완화했습니다.

ÆPIC 누출, 인텔 CPU의 아키텍처 버그

10 세대, 11 세대 및 12 세대 Intel CPU에 영향을 미치는 아키텍처 버그는 그라츠 공과 대학 인 로마 사피엔 자 대학의 연구원들이 공동으로 발견했습니다. Amazon 웹 서비스 및 CISPA 헬름홀츠 정보 보안 센터. 결함은 프로세서 코어에 인터럽트를 수락, 우선 순위 지정 및 디스패치하는 고급 프로그래밍 가능 인터럽트 컨트롤러 (APIC) CPU 구성 요소에 있습니다. 악용에 성공하려면 APIC MMIO에 대한 관리자 또는 루트 권한이 필요하며 프로세서에서 중요한 정보가 공개될 수 있습니다.

ÆPIC Leak 웹 사이트에서 언급했듯이이 버그는 사이드 채널 공격에 의존하지 않고 민감한 데이터를 공개 할 수 있다는 점에서 Meltdown 및 Spectre 취약점과 다릅니다. 또한 클라우드 워크로드는 하이퍼바이저에 의해 기본 하드웨어의 고급 프로그래밍 가능 인터럽트 컨트롤러에 대한 직접 액세스 권한이 부여되지 않으므로 클라우드 VM에서 취약성을 악용할 위험이 완화됩니다.

인텔은 이 취약성을 해결하기 위해 버그 및 펌웨어 업데이트에 대한 보안 권고 를 발표했습니다.

이번 주 트렌드 취약점

• CVE-2022-27925: 짐브라 협업의 디렉터리 순회
• CVE-2022-37042: Zimbra 협업 제품군에서 잠재적인 디렉터리 순회 및 원격 코드 실행
• CVE-2022-32893: Safari에서 임의 코드 실행
• CVE-2022-28756: macOS용 미팅용 Zoom 클라이언트의 로컬 권한 에스컬레이션
• CVE-2022-30190: MSDT(Microsoft Windows 지원 진단 도구) 원격 코드 실행 취약성.