CVE-2024-3094 분석: XZ Utils 백도어를 활용한 다중 레이어 공급망 공격으로 주요 리눅스 배포판에 영향을 미침
목차:
사이버 보안 전문가들은 가장 널리 사용되는 리눅스 배포판에 그림자를 드리운 공급망 공격이 계속되는 가운데 경계를 늦추지 않고 있습니다. 그 규모와 정교함은 악명 높은 사건인 Log4j and SolarWinds를 연상시키며, 이 새로운 위협은 거의 모든 주요 리눅스 배포판에서 발견되는 필수 데이터 압축 유틸리티인 XZ Utils (이전 LZMA Utils)의 백도어에서 비롯됩니다. 이 획기적인 위협에 주의를 끌기 위해 이 비밀스러운 백도어는 CVE-2024-3094라는 취약성 식별자로 할당되었으며 심각도는 10.0입니다.
XZ Utils 백도어: 리눅스 공급망 공격
치명적인 소프트웨어 공급망 타협은 두 가지 널리 사용되는 XZ Utils 데이터 압축 라이브러리 버전에서 은밀히 백도어가 심어진 것으로 나타납니다. 이 백도어는 원격 적이 SSH 인증을 무시하고 영향을 받는 시스템에 완전한 접근을 부여합니다. 이 정밀하게 실행된, 수년에 걸친 공격은 유지자 수준의 접근 권한을 가진 개인이 의도적으로 백도어를 도입했음을 시사합니다.
Microsoft 소프트웨어 엔지니어인 Andres Freund는 의심스러운 잘못된 설정을 3월 말에 발견했으며, 주장합니다 XZ Utils 버전 5.6.0의 tarball 다운로드 팩에 악성 문자열이 주입되었다고 합니다. 이후 버전 5.6.1에서 위협 행위자는 악성 코드를 업데이트하여 추가 난독화를 제공하고 일부 설정 오류를 수정했습니다.
Freund는 이 악성 코드가 올해 초 Jia Tan (JiaT75)라고 확인된 개인에 의해 GitHub의 Tukaani 프로젝트 에 일련의 소스 코드 커밋을 통해 은밀하게 통합되었다고 말합니다. GitHub의 Tukaani 프로젝트 XZ Utils 저장소는 이미 규정 위반으로 비활성화되었습니다.
현재 영향을 받은 XZ Util 버전은 독점적으로 해당 불안정 및 베타 에디션에서 나타났습니다. Fedora, Debian, Kali, openSUSE, 와 Arch Linux 배포판입니다. Debian과 Ubuntu 는 그들의 안정적인 릴리스에서는 타협된 패키지를 포함하지 않으며 사용자 보안을 보장한다고 확인했습니다. 또한, Amazon Linux, Alpine Linux, Gentoo Linux, 그리고 Linux Mint는 백도어 사건에 영향받지 않았다고 주장했습니다.
XZ Utils는 수많은 리눅스 배포판 내에서 중요한 구성 요소일 뿐만 아니라 여러 라이브러리에 대한 기본 의존성이기도 합니다. 이 공급망 공격의 여파는 소프트웨어 생태계를 널리 파급시킵니다. 그러나 백도어가 안정적인 리눅스 배포판으로 전혀 전파되지 않았기 때문에 가능한 결과는 상당히 제한적입니다.
CVE-2024-3094 대응: XZ Utils 백도어와 관련된 위험 줄이기
각 주요 리눅스 배포판의 유지자가 제공한 (위에서 언급된) 권고에는 코드베이스에서 타협된 XZ Util 버전의 존재를 신속하게 탐지하기 위한 사용자 지침이 포함되어 있습니다. Red Hat은 XZ를 이전 버전으로 롤백하는 업데이트를 출시하여 이를 표준 업데이트 채널을 통해 배포할 계획으로 선제 조치를 취했습니다. 그러나 잠재적인 공격을 걱정하는 사용자들은 업데이트 프로세스를 신속히 진행할 수 있는 옵션이 있습니다.
CISA 는 영향을 받는 리눅스 배포판을 사용하는 조직에 대한 XZ Utils을 이전 버전으로 복구하라는 요구에 목소리를 보탰습니다. 그들은 백도어와 관련된 의심스러운 활동에 대한 징후를 꼼꼼히 검색하고 신속히 사이버 보안 커뮤니티와 그들의 발견을 공유할 것을 강조합니다.
위 내용의 요약으로 완화 절차에는 다음 기본 요소가 포함되어야 합니다:
- 관련 권고를 기반으로 안전한 버전으로 XZ Util 패키지를 다운그레이드(또는 업그레이드)하기;
- 외부 SSH 접속 차단;
- 네트워크 분할.
또한, XZ 백도어 실행과 관련된 잠재적인 악성 활동을 식별하기 위해 SOC Prime 팀은 Arnim Rupp, Nasreddine Bencherchali, 및 Thomas Patzke와 함께 관련 Sigma 규칙을 SOC Prime 플랫폼에서 사용할 수 있도록 제공했습니다.
모던 리눅스 배포판에서 SSH 연결을 통한 SH 인터프리터의 의심스러운 실행 (명령줄을 통해)
CVE-2024-3094의 잠재적인 악용 – 의심스러운 SSH 자식 프로세스
두 규칙은 특정 실행 사용자와 함께 SSH 프로세스(sshd)의 잠재적으로 의심스러운 자식 프로세스를 탐지하는 데에 도움을 주며, 이는 CVE-2024-3094에 연결될 수 있습니다. 이 규칙들은 28개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며 광범위한 위협 인텔리전스로 풍부하게 보강되었습니다.
SOC Prime의 집단적 사이버 방어를 위한 플랫폼은 악명 높은 위협을 예상하고 SOC 운영을 간소화하기 위해 만들어진 위협 사냥 및 탐지 엔지니어링 솔루션이 뒷받침하는 공격자의 TTP를 탐지하기 위해 동작 기반 탐지 알고리즘의 세계 최대의 컬렉션을 제공합니다. SOC Prime에 의존하여 공격자보다 앞서가고 악명 높은 위협을 사전에 탐지하십시오. 자세한 내용을 보려면 https://socprime.com/.
