[보안뉴스 문가용 기자] 대만의 NAS 제조사인 큐냅(QNAP)이 자사 제품 일부에서 심각한 리눅스 관련 취약점을 발견했다고 발표했다. 이 취약점은 더티파이프(Dirty Pipe)라고 불리며, 지난 주에 처음으로 발견됐다. 더티파이프 취약점의 영향력 혹은 파급력이 매우 넓을 수 있음을 시사하는 발표 내용이다.
[이미지 = utoimage]
더티파이프는 모든 리눅스 커널(5.8~5.16.11, 5.15.25, 5.10.102 이전 버전)에 존재하는 권한 상승 취약점이다. 보안 전문가인 맥스 켈러만(Max Kellerman)이 처음 발견했으며, 부여된 관리 번호는 CVE-2022-0847이다. 지난 주 이 취약점을 발견한 켈러만은 개념 증명용 익스플로잇도 함께 발표했었다. 현재 리눅스 커널 최신 버전을 통해 더티파이프는 해결이 된 상태다. 또한 실제 공격 사례도 아직은 존재하지 않는 것으로 알려져 있다.
하지만 더티파이프는 리눅스 커널 5.8 이상 버전을 기반으로 한 모든 장비들에 존재한다. 최신 안드로이드 12 기반 장비인 구글 픽셀 6과 갤럭시 S22가 여기에 포함된다. 또한 익스플로잇 방법이 여러 개이기도 하다. 이 때문에 미국 사이버 보안 담당 기관인 CISA는 더티파이프 취약점을 미리 조사해서 패치를 적용하라는 권고문을 긴급하게 내놓기도 했다.
보안 업체 카스퍼스키(Kaspersky)의 수석 보안 전문가인 야로슬라브 슈멜레브(Yaroslav Shmelev)는 “더티파이프 취약점은 권한이 낮은 로컬 사용자가 루트 권한(최고 권한)을 가져갈 수 있도록 해 준다”고 설명한다. “이를 통해 로컬 사용자는 새로운 스케줄을 생성하거나, SUID 바이너리를 하이재킹하거나, 비밀번호를 조작하는 등 각종 악성 행위를 할 수 있게 됩니다.”
NAS 장비에 이 공격이 들어갈 경우 공격자는 시스템 내 저장된 모든 데이터에 접근할 수 있게 된다. “뿐만 아니라 루트 권한을 유지한 채 지속적으로 공격을 실시할 수도 있게 됩니다. 한 번에 끝나는 공격이 아니라는 것이죠. 이를 통해 자신들의 흔적을 말끔히 지워내는 것도 가능하고요. 권한이 높은 시스템 서비스들을 사용해 사용자 크리덴셜을 확보할 수도 있죠.”
큐냅은 자사 장비들 중 x86을 기반으로 한 모든 NAS 장비와 일부 ARM 기반 장비들이 더티파이프 익스플로잇에 침해될 수 있다고 경고했다. 특히 OS인 QTS 5.0.x 버전과 QuTS 히어로 h5.0.x 버전이 위험한 것으로 알려져 있다. “취약점 익스플로잇을 통해 공격자는 자신의 권한을 상승시키고 임의의 코드를 주입할 수 있게 됩니다. 패치를 개발하는 대로 배포하겠습니다만 아직까지 위험 완화 방법은 딱히 없습니다.”
켈러만에 따르면 더티파이프는 2016년 리눅스 커널에서 발견된 더티카우(Dirty Cow) 취약점과 비슷한 면모를 가지고 있다고 한다. 한 가지 다른 점이 있다면 익스플로잇이 훨씬 쉽다는 것이다. 더티카우는 CVE-2016-5195라는 이름으로 관리되고 있으며, 커널 메모리 하위 시스템인 ‘카피온라이트(copy-on-write, COW)’와 관련이 있다. “더티카우 취약점이 나온 지 6년이 다 되어 가는데, 아직도 취약한 장비들이 존재하고, 이를 익스플로잇 하는 공격자들이 존재합니다.”
슈멜레브는 “특정 액션을 실행하고 파이프를 생성할 때 더티파이프 취약점이 발동된다”고 설명한다. “발동된 후 공격자는 아무 파일의 콘텐츠나 임의로 조작할 수 있게 됩니다. 읽기 전용 파일이더라도 공격자가 바꿀 수 있게 되는 것이죠. 공격 방법이 매우 간단합니다. 익스플로잇의 소스코드를 컴파일링 한 후 침해된 시스템에서 실행파일을 실행시키기만 하면 끝입니다.”
다행히 모든 리눅스 배포판에서 이미 패치가 진행됐고, 일반 리눅스 커널 취약점 패치처럼 패치하면 된다고 슈멜레브는 설명한다. “이 취약점을 익스플로잇 하려면 물리적으로 장비에 접근할 수 있어야 합니다. 그러므로 리눅스 서버에 대한 물리적 접근을 제어할 경우 위험을 크게 완화시킬 수 있습니다. 물론 그렇다고 해도 뚫어낼 공격자들은 다 뚫어내지만요.” VM웨어의 수석 인텔리전스 국장인 지오반니 비그나(Giovanni Vigna)의 설명이다.
“거기에다가 만일을 대비해 망분리까지 해 둔다면 공격자들이 얻어갈 수 있는 게 크게 적어집니다. 더티파이프 패치가 힘들 경우 물리 접근 제한과 망분리를 해야 함을 잊지 마세요. 다만 패치가 훨씬 쉽고 효과적인 방어법이라는 것도 잊으면 안 되고요.”
한편 비그나는 “최근 공격자들이 리눅스를 겨냥한 공격의 수위를 높이고 있다는 것도 염두에 두고 있어야 한다”고 말한다. “고급 공격은 윈도 기반 시스템들에서 주로 일어났었어요. 하지만 최근에는 모바일과 리눅스 장비들에서도 고급 공격이 빈번하게 일어나죠. 리눅스 기반 시스템들은 모바일 환경과 사물인터넷 환경의 중요한 요소이기 때문에 앞으로도 공격자들의 관심은 식지 않을 것으로 보입니다.”
3줄 요약
1. 지난 주, 리눅스 커널 권한 상승 취약점인 더티파이프가 처음 발견됨.
2. 그런데 큐냅사의 NAS 장비들 일부에서 이 취약점이 발견됨.
3. 물리적으로 접근만 하면 쉽게 권한 상승시켜 아무 악성 행위나 할 수 있게 해 주는 취약점.
* 큐냅(QNAP) 측은 해당 기사와 관련해서 안전한 망 보호와 계정 보호가 유지되는 상태라면 더티파이프 취약점에 안전하다며, 안전하게 NAS를 사용하기 위한 방법(모든 제조사 공통사항)을 제시했다.
안전하게 NAS를 사용하기 위한 방법(모든 제조사 공통사항)
[기기로의 접근을 안전하게]
1. 불필요한 포트포워딩 사용 지양(불필요한 포트 사용금지)
2. VPN이나 https 기반으로 외부에서의 기기 접근 필요
3. SSH와 텔넷의 비활성화
4. uPNP 비활성화
5. 포트번호 변경(=80, 8080, 443등 기본 포트번호를 변경)
6. 공유기 펌웨어 자동 업데이트
[기기 로그인을 안전하게]
1. 기본 Admin 계정 비활성화
2. 강력한 비밀번호 사용
3. 2차 인증 사용(2-step verification)
4. 자동 업데이트 활성화
5. 중요 어플과 파일과 폴더는 인가받은 사용자에게만 읽기/쓰기 권한 부여
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>