세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
작년에 나온 더티 카우 취약점 패치, 완전하지 않았다
  |  입력 : 2017-12-01 16:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
리눅스 커널에서 발견된 취약점...로컬 권한 상승 가능케 해
안드로이드에서도 가능해 구글이 패치 발표...그러나 불완전한 해결책


[보안뉴스 문가용 기자] 이른 바 더티 카우(Dirty COW)라는 취약점이 작년 리눅스 시스템에서 발견됐고, CVE-2016-5195로 분류된 바 있다. 비밀 읽기 전용 메모리 매핑의 COW(copy-on-write) 파손 시 리눅스 커널의 메모리 서브시스템에서 해결하는 방식의 경합 조건 때문에 존재하는 취약점이라고 당시 보안 전문가 필 오이스터(Phil Oester)가 밝혔었다. 쉽게 말해 읽기 전용 파일에 쓰기가 가능해지는 버그로써, 이를 익스플로잇하면 로컬의 공격자가 권한을 상승시킬 수 있게 된다.

[이미지 = iclickart]


이 취약점은 리눅스 외에 안드로이드에도 영향을 주는 것으로 밝혀졌다. 심지어 콘테이너로 격리시켜도 소용이 없다고 한다. 그래서 구글은 1년 전에 이미 후다닥 패치를 내놓았지만, 그 조치가 무색하게 안드로이드 기기들을 겨냥한 더티 카우(Dirty COW) 공격이 새롭게 개발돼 나타나기도 했다. 바로 지난 9월에도 더티 카우를 겨냥한 멀웨어가 발견되기도 했다.

필 오이스터에 따르면 더티 카우 취약점은 get_user_pages라는 함수에 영향을 준다. get_user_pages 함수는 가상의 주소들 뒤에 있는 실제 물리적 페이지들로 접근하는 기능을 가지고 있다. 그러니 이를 조작하는 등 악용하면 가상의 주소를 넘어 실제 페이지에 뭔가를 쓸 수 있게 된다. 구글이 작년에 배포한 픽스는 이러한 요청을 아예 차단하도록 만들었어야 하는데 그렇게 하지 않았다. 대신 COW 사이클을 진행했었다는 사실을 함수가 기억하도록 만들었다.

보안 전문가들은 이 방식에 대해 “THP(Transparent Huge Pages)와 PMD(Page Medium Directory)를 활용하면 이 취약점은 여전히 익스플로잇 가능하다”며 “불완전하다”고 판명했다. 더티 카우 패치 코드 중 THP와 연관이 있는 코드에 can_follow_write_pmd라는 함수가 있는데, 이것이 또 다른 문젯거리가 될 수 있다는 것이다. 이는 PMD의 can_follow_write_pte에도 적용 가능하다.

이는 패치가 나왔지만 여전히 비슷한 방식으로의 공격이 가능하다는 뜻으로, 보안 전문가들은 이미 여러 가지 가상의 공격 시나리오와 익스플로잇 개념증명까지도 개발해냈다. 또한 이 취약점은 지난 주 CVE-2017-1000405로 또 다시 분류되기도 했다. 이 모두가 작년에 했던 일을 한 번 더 한 꼴이다.

보안 매체 시큐리티위크(Security Week)는 더티 카우 공격이 반복해서 일어난 것에 대해 “취약점이 발견되었으니 큰일 났다는 소식에는 사람들이 큰 관심을 갖고 각종 SNS에 퍼가지만, 그에 대한 패치가 나왔다는 소식에는 심드렁하다”며 “이건 일반 사용자뿐만 아니라 보안 업계의 전문가라는 사람들도 그렇다”며 꼬집었다. 구글이 내놨다던 그 패치가 완전하지 않아서 아직도 공격이 일어나고 있는데, 아무도 그 패치가 완전하다는 사실을 1년 동안이나 알아채지 못했다는 게 그 증거라고 매체는 말했다.

보안 전문가들은 “패치 감사(patch auditing) 역시 개발의 생애주기 내에 포함시켜야 한다”고 주장하기도 했다. “불완전한 패치가 오히려 문제를 증식시키기도 하고, 이런 일이 점점 더 잦게 발생합니다. 리눅스 같은 오픈소스에서만 이런 문제가 발생하는 것이 아닙니다. 제대로 된 패치만이 문제를 막습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#더티   #카우   #리눅스   #커널   #취약점   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)