CVE-2024-3094
오픈 소스 라이브러리 XZ Utils에서 발견된 취약점
SSH 인증 우회 백도어로 보고되었으나, RCE를 가능하게 하는 것으로 밝혀짐
공격자는 2년 전부터 XZ프로젝트에 참여하여 릴리스 관리자 권한을 얻었고 소셜 엔지니어링을 활용
가짜 계정을 통해 원래의 관리자를 압박해서 다른 관리자를 추가하도록 유도
악성 관리자는 탐지를 피하기 위해 백도어의 일부를 공개 Git 리포지토리에 푸시하는 대신, 소스 코드 타르볼 릴리스에만 포함하여 백도어의 일부가 숨겨진 채 사용됨
도입과정
멀웨어로 심볼 확인 기능을 탈취하는데 사용되도록 빌드 프로세스에 IFUNC 사용
테스트 파일에 난독화된채 숨겨진 공유 오브젝트 포함
빌드 프로세스중에 공유 오브젝트를 추출하는 스크립트 세트 실행
프로세스 권한을 제한하는 보안 기능인 랜드로킹 비활성화
복잡한 과정을 거쳐 함수 확인 프로세스를 발해하고 OpenSSH 함수 RSA_public_decrypt 의 함수 포인터를 대체하고
해당 함수로 자신의 악성 함수를 가리키게하여 인증 클라이언트의 인증서에서 명령을 추출하고 실행되도록 시스템 함수에 전달하고
인증전에 RCE(원격 코드 실행 Remote code execution)를 달성함
취약한 머신의 SSH 데몬에 추가되어 임의의 코드를 실행할 수 있는 가능성이 있다
대응방안
zx utils 또는 liblzma 버전 확인 후 ( https://www.akamai.com/ko/products/akamai-guardicore-segmentation 에서 쿼리 SELECT DISTINCT path AS liblzma_path FROM process_memory_map WHERE LOWER(path) LIKE "%liblzma%" )
5.4.6으로 다운그레이드
'잡담 & 시사이슈 등' 카테고리의 다른 글
| Rocky-BaseOS.repo (0) | 2024.10.19 |
|---|---|
| 최근 보안뉴스 (0) | 2024.10.13 |
| 구글 스프레드시트 Apps Script 원하는 범위내 문자열 찾아 데이터 뿌리기 (0) | 2024.08.14 |
| Rust 취약점 이슈 (0) | 2024.05.12 |