CVE-2021-4034 탐지: 모든 주요 리눅스 배포판에 영향을 미치는 악명 높은 PwnKit 취약점
목차:
어둠 속에서 벌어지는 일은 빛에서 밝혀져야 합니다. 보안 전문가들은 거의 모든 리눅스 호스트에 영향을 미치는 특히 위험한 12년 된 버그를 밝혀냈습니다. 이 결함은 성공적으로 악용될 경우, 로컬의 권한이 없는 공격자가 문자 그대로 어떤 리눅스 머신에서도 루트 접근 권한을 부여 받을 수 있게 합니다.
CVE-2021-4034 (PwnKit) 설명
사이버 영역이 아직 log4j 재해에서 회복하고 있는 동안, 이제 보안 전문가들은 비슷한 범위와 규모의 또 다른 보안 문제에 직면하게 되었습니다. CVE-2021-4034로 추적되는 이 버그는 2009년 폴킷의 pkexec 함수의 최초 커밋에서 도입되어, 존재하는 모든 폴킷 버전에 영향을 미칩니다.
폴킷(이전의 PolicyKit)은 권한을 정의하고 처리하는 데 사용되는 유닉스 계열 운영 체제의 기본 요소입니다. 이 오픈 소스 앱 프레임워크의 일부로서, pkexec 함수는 최고 권한으로 명령을 실행할 수 있는 기능을 제공합니다. 결과적으로, PwnKit 메모리 손상 문제는 기본 폴킷 구성을 사용하는 시스템에서 공격자가 루트 권한을 얻을 수 있는 기회를 제공합니다. 원격 악용 옵션은 없지만, 모든 로컬 사용자는 즉시 CVE-2021-4034를 악용할 수 있다고 Qualys 분석팀은 말합니다..
CentOS, Debian, Fedora, Ubuntu가 노출된 것으로 확인되었습니다. 다른 리눅스 운영 체제도 영향을 받을 것으로 예상됩니다.
PwnKit 악용
조사하는 동안, Qualys의 전문가들은 CVE-2021-4034에 대한 동작하는 PoC 익스플로잇을 개발했습니다. 그러나 사용법이 간단하기 때문에, 보안 전문가들은 PwnKit에 대한 PoC를 공개적으로 발표하지 않기로 결정했습니다.
그러나, 아무것도 영원히 묻히지는 않습니다. Qualys 보고서가 공개된 지 몇 시간 만에, PoC의 물결이 쏟아졌습니다. 미디어 매체들에 따르면, 이러한 익스플로잇은 완전히 기능적이고 신뢰할 수 있다고 합니다. 게다가, CERT/CC 분석가 Will Dormann은 언급합니다. 익스플로잇이 간단하고 범용이라고, 이는 우리가 야생에서의 대규모 익스플로잇을 곧 기대해야 함을 다시 한번 증명합니다.
CVE-2021-4034 (PwnKit) 탐지 및 완화
Qualys 전문가들은 이 심각한 버그를 2021년 11월 중순에 보고하였으며, 2022년 1월에 이에 대한 패치가 발행되었습니다. 보안 구멍의 중요성 및 간단한 악용 방식을 고려할 때, 사용자들은 가능한 빨리 설치를 업그레이드할 것을 권장합니다.
폴킷 관리자가 만든 패치는 이미 GitLab에 게시되었습니다.또한, 리눅스 배포판이 사전에 이를 접근할 수 있어, Ubuntu and Red Hat 업데이트가 이미 공개되어 PwnKit 결함에 대한 보호를 강화했습니다.
PwnKit 공격으로부터 회사 인프라를 보호하고 잠재적 악용 시도를 식별하기 위해, SOC Prime 팀이 엄선한 Sigma 규칙 세트를 다운로드를 선택하세요. 아래의 탐지 규칙들은 PwnKit 익스플로잇과 관련된 비정상적인 행동을 식별하며 SOC Prime Detection as Code 플랫폼에서 무료로 사용할 수 있습니다:
폴킷 [CVE-2021-4034]에서의 잠재적 로컬 권한 상승 취약점 악용 (키워드 사용)
폴킷 [CVE-2021-4034]에서의 잠재적 로컬 권한 상승 취약점 악용 (파일 이벤트)
폴킷 [CVE-2021-4034]에서의 잠재적 로컬 권한 상승 취약점 악용 (명령줄)
이 CVE-2021-4034 (PwnKit)에 대한 탐지 규칙의 동적으로 업데이트된 목록은 다음 링크.
에서 확인할 수 있습니다. SOC Prime의 Detection as Code 플랫폼에 무료로 참여하여 SIEM 또는 XDR 환경에서 최신 위협을 검색하고, MITRE ATT&CK 매트릭스와 연계된 가장 관련성 높은 콘텐츠를 통해 위협 범위를 개선하며, 전반적으로 조직의 사이버 방어 능력을 강화하세요. 콘텐츠 작성자이신가요? SOC Prime Threat Bounty 프로그램에 참여하여 연구원이 자신의 탐지 콘텐츠를 수익화할 수 있는 세계 최대의 사이버 방어 커뮤니티의 힘을 경험하세요.
