리눅스 OS에서 권한 상승을 가능하게 하는 Sudo의 힙 버퍼 오버플로우 (CVE-2021-3156)

[post-views]
1월 29, 2021 · 2 분 읽기
리눅스 OS에서 권한 상승을 가능하게 하는 Sudo의 힙 버퍼 오버플로우 (CVE-2021-3156)

최근 공개된 Sudo의 보안 문제는 인증되지 않은 해커가 Linux 장치에서 루트 권한으로 권한을 상승시킬 수 있게 합니다. 이 취약점은 2011년에 도입되었으며 거의 10년 동안 발견되지 않았습니다.

Linux Sudo 취약점 설명

Sudo는 시스템 관리자를 위한 표준 서비스로, 대부분의 Unix 및 Linux 환경에 전반적으로 적용됩니다. 이 유틸리티는 관리자가 특정 사용자에게 제한된 루트 접근을 제공할 수 있도록 권한 위임을 보장합니다.

Baron Samedit라고 불리는 이 취약점 (CVE-2021-3156)은 힙 버퍼 오버플로우 문제로, 존재합니다 백슬래시의 인수를 잘못 처리하기 때문에 발생합니다. 특히, Sudo가 SHELL MODE에서 명령을 실행하고 -s 또는 -i 라인 매개변수를 추가하는 경우 문제가 발생합니다. 코드 구성 오류로 인해 명령의 인수에서 특정 기호가 백슬래시와 함께 이스케이프되도록 만듭니다. 이후 다른 구성 오류로 인해 명령줄을 파싱할 때 메모리가 잘못 처리되어 힙 기반 버퍼가 오버플로우되게 만듭니다.

보안 전문가들은 이 취약점이 봇넷 운영자들에 의해 야생에서 크게 악용될 수 있다고 생각합니다. 예를 들어, 상대방은 저수준 Sudo 계정을 장악하기 위해 연속적인 브루트 포스 공격을 시작할 수 있습니다. 그 후, 공격자들은 Baron Samedit 취약점을 적용하여 관리자 접근과 대상으로 한 서버에 대한 완전한 제어권을 얻을 수 있습니다.

CVE-2021-3156: 탐지 및 완화

Qualys 보안 감사 회사가 올해 이 취약점을 발견하고 세 가지 작동하는 익스플로잇을 메이저 Linux 배포판을 위해 제작했습니다. 이 익스플로잇은 인증되지 않은 로컬 사용자에게 대상으로 한 인스턴스에서 최고 권한을 얻을 수 있도록 합니다.

취약점이 오랫동안 탐지되지 않은 상태로 남아 있었기 때문에 대부분의 Sudo 레거시 버전 (1.8.2 – 1.8.31p2) 및 모든 안정 버전 (1.9.0 – 1.9.5p1)이 영향을 받았습니다. Sudo 개발자는 1.9.5p2 릴리스를 통해 문제를 패치했습니다.

Sudo 취약점 공격에 대한 사이버 방어를 강화하려면 ArcSight를 위한 SOC Prime의 전용 규칙 팩을 다운로드할 수 있습니다:

https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/ 

2021년 2월 2일 업데이트: SOC Prime 팀은 Sudo 힙 버퍼 오버플로우 취약점과 관련된 익스플로잇 시도를 탐지하기 위한 새로운 Sigma 규칙을 발표했습니다. 탐지 콘텐츠는 우리의 Threat Detection Marketplace 플랫폼에서 다운로드할 수 있습니다.

 

가능한 Sudo 힙 기반 버퍼 오버플로우 익스플로잇 방법 [sudoedit 변형] (CVE-2021-3156)

Sudo 취약점 확인 탐지 패턴 (CVE-202103156)

규칙은 다음 플랫폼에 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness

EDR: Carbon Black

MITRE ATT&CK:

전술: 권한 상승,

기술: 권한 상승을 위한 익스플로잇 (T1068)

최신 Threat Detection Marketplace 업데이트를 주목하고, 이 고약한 취약점과 관련된 새로운 SOC 콘텐츠를 놓치지 마세요. 모든 새로운 규칙이 이 게시물에 추가될 것입니다.

무료 구독 받기: 90,000개 이상의 탐지 및 대응 규칙을 집계하여 사이버 방어를 선제적으로 제공하는 세계 선도적 콘텐츠 서비스 플랫폼인 Threat Detection Marketplace. 자신의 탐지 콘텐츠를 만들고 싶으신가요? 우리의 Threat Bounty Program에 참여하세요 그리고 글로벌 위협 사냥 이니셔티브에 기여하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.