CVE-2024-24576 탐지: 해커들이 Windows 사용자를 대상으로 최대 심각도의 “BatBadBut” Rust 취약점을 악용하다
목차:
Rust 표준 라이브러리에서 새롭게 최대 심각도의 취약점이 발견되었습니다. 이 취약점은 명령어 주입 공격을 가능하게 하여 Windows 사용자에게 심각한 위협을 가합니다. CVE-2024-24576으로 추적되는 이 결함은 신뢰할 수 없는 인수를 사용하여 Windows에서 배치 파일을 실행하는 상황을 구체적으로 영향을 미칩니다. PoC 코드가 이미 공개되어 있어 식별된 취약점의 성공적인 악용은 자연 상태의 공격 위험을 증가시킵니다.
CVE-2024-24576 악용 시도 탐지
취약점 악용 탐지는 최근 몇 년 동안 사이버 보안의 주요 사용 사례 중 하나로 남아 있으며, 새로운 결함의 숫자가 기하급수적으로 증가하고 있습니다. 보안 전문가들이 잠재적인 악용 시도를 제때 발견하고 사전 방어할 수 있도록 돕기 위해, SOC 프라임 플랫폼은 30만 개 이상의 정제된 탐지 알고리즘과 위협 사냥 및 탐지 엔지니어링을 위한 고급 솔루션을 통합합니다. 최신 공격자 TTPs에 대한 글로벌 규칙 피드는 최신 위협에 대한 탐지를 24시간 SLA로 제공하여 보안 전문가가 적시에 침투를 견디도록 무장시킵니다.
CVE-2024-24576 악용과 관련된 악성 활동을 식별하도록 돕기 위해, Threat Detection Marketplace는 열정적인 Threat Bounty 개발자가 만든 정제된 Sigma 규칙을 제공합니다. 에미르 에르도안:
Rust 취약점(CVE-2024-24576)을 이용한 명령어 주입 공격 가능성 높음
위 규칙은 Rust 프로그래밍 언어를 통한 Windows 명령어 주입 공격을 프로세스 생성 로그를 통해 탐지하는 데 도움을 줍니다. 탐지는 28개 이상의 SIEM, EDR 및 Data Lake 형식과 호환되며, MITRE ATT&CK® 프레임워크 v14.1에 매핑됩니다. 또한, Sigma 규칙은 광범위한 위협 정보와 메타데이터로 강화되어 위협 조사를 원활하게 합니다.
탐지 엔지니어링 기술을 개발하고 여러분의 입력에 대해 금전적 수익을 올리면서 집단 사이버 방어에 기여하고 싶으신가요? SOC Prime의 Threat Bounty Program 에 참여하여 탐지 코딩 기술을 훈련하고, 엔지니어링 경력을 쌓으며, 산업 전문 지식을 풍부하게 하고 여러분의 입력에 대한 금전적 혜택을 제공합니다.
위협 사냥 효율성을 높이고 조직의 인프라를 보호하기 위해 사이버 수비수는 취약점 악용 탐지를 목표로 한 전체 탐지 스택에 몰두할 수 있습니다. 아래 탐지 탐색 버튼을 클릭하면 관련 메타데이터로 강화된 광범위한 Sigma 규칙 컬렉션을 자세히 살펴볼 수 있습니다. 특히 규칙에는 CTI 링크, ATT&CK 참조, 양성 피드백, 공격 타임라인 등이 함께 제공됩니다.
CVE-2024-24576 분석
Rust 표준 라이브러리에는 Windows 배치 파일을 실행하기 위한 Command API가 포함된 일반적인 기능이 있습니다. 최근 Rust 보안 대응 워킹 그룹의 권고 에는 이 기능이 견고한 입력 처리를 하지 않는다는 점이 강조되어 있어 실행 중 코드 삽입의 가능성을 엽니다. 권고에 따르면, 공격자는 생성된 프로세스에 공급된 인수를 조작하고 이스케이프 메커니즘을 우회하여 허가되지 않은 셸 명령을 실행할 수 있습니다. 이 Rust 취약점은 CVE-2024-24576으로 식별되며, 특히 Command API를 통해 Windows에서 배치 파일을 호출하는 사용 사례에서 최대 심각도 수준(CVSS 점수 10.0)에 도달합니다.
BatBadBut이라는 별명을 가진 CVE-2024-24576은 보안 연구자 RyotaK 에 의해 CERT/CC에 공개적으로 보고되었습니다. 특히, 이 결함은 Windows 배치 프로세스에 전달되는 인수를 적절히 구문 분석하지 않는 경우 여러 프로그래밍 언어에 영향을 미칩니다. 이는 프로그래밍 언어가 Windows에서 CreateProcess 함수를 래핑하고 명령 인수에 대한 이스케이프 메커니즘을 통합할 때 발생합니다. CVE-2024-24576의 전체 영향은 취약한 프로그래밍 언어나 모듈이 구현되는 방식에 달려 있습니다. 다른 구현은 다양한 정도의 악용과 잠재적인 보안 위험을 초래할 수 있습니다.
CVE의 영향은 Windows 장치에서 신뢰할 수 없는 인수로 배치 파일을 실행하는 코드 또는 종속성이 있는 경우 모든 Rust 버전 1.77.2 이전에까지 확대됩니다. 하지만, 이 결함은 다른 플랫폼 또는 Windows에서의 다른 사용에 영향을 주지는 않습니다.
CVE-2024-24576 완화 조치로, 공급자는 강력한 결함의 패치를 포함하는 Rust 1.77.2 버전으로 표준 라이브러리를 업데이트할 것을 강력히 권장합니다 . 악용 위험을 최소화하는 또 다른 옵션으로, 관련 고지에서 CERT/CC 는 사용자 애플리케이션의 런타임이 이 취약점에 대한 패치를 제공하지 않는 경우 잠재적인 명령 실행을 막기 위한 적절한 이스케이프 및 데이터 중화 구현도 권장합니다.
공개적으로 이용 가능한 GitHub에 있는 PoC 코드 로 인해 이 Rust 취약점이 자연 상태에서 악용될 위험이 급격히 증가하고 있으며, 방어자에게 초고속 대응이 요구됩니다. SOC Prime 플랫폼에 가입하여 크리티컬한 CVE와 현재 가장 도전적인 비즈니스의 신흥 위협에 대해 계속 업데이트받으면서 방어를 확장하세요.
