최근 공개된 Sudo의 보안 문제는 인증되지 않은 해커가 Linux 장치에서 루트 권한으로 권한을 상승시킬 수 있게 합니다. 이 취약점은 2011년에 도입되었으며 거의 10년 동안 발견되지 않았습니다.
Linux Sudo 취약점 설명
Sudo는 시스템 관리자를 위한 표준 서비스로, 대부분의 Unix 및 Linux 환경에 전반적으로 적용됩니다. 이 유틸리티는 관리자가 특정 사용자에게 제한된 루트 접근을 제공할 수 있도록 권한 위임을 보장합니다.
Baron Samedit라고 불리는 이 취약점 (CVE-2021-3156)은 힙 버퍼 오버플로우 문제로, 존재합니다 백슬래시의 인수를 잘못 처리하기 때문에 발생합니다. 특히, Sudo가 SHELL MODE에서 명령을 실행하고 -s 또는 -i 라인 매개변수를 추가하는 경우 문제가 발생합니다. 코드 구성 오류로 인해 명령의 인수에서 특정 기호가 백슬래시와 함께 이스케이프되도록 만듭니다. 이후 다른 구성 오류로 인해 명령줄을 파싱할 때 메모리가 잘못 처리되어 힙 기반 버퍼가 오버플로우되게 만듭니다.
보안 전문가들은 이 취약점이 봇넷 운영자들에 의해 야생에서 크게 악용될 수 있다고 생각합니다. 예를 들어, 상대방은 저수준 Sudo 계정을 장악하기 위해 연속적인 브루트 포스 공격을 시작할 수 있습니다. 그 후, 공격자들은 Baron Samedit 취약점을 적용하여 관리자 접근과 대상으로 한 서버에 대한 완전한 제어권을 얻을 수 있습니다.
CVE-2021-3156: 탐지 및 완화
Qualys 보안 감사 회사가 올해 이 취약점을 발견하고 세 가지 작동하는 익스플로잇을 메이저 Linux 배포판을 위해 제작했습니다. 이 익스플로잇은 인증되지 않은 로컬 사용자에게 대상으로 한 인스턴스에서 최고 권한을 얻을 수 있도록 합니다.
취약점이 오랫동안 탐지되지 않은 상태로 남아 있었기 때문에 대부분의 Sudo 레거시 버전 (1.8.2 – 1.8.31p2) 및 모든 안정 버전 (1.9.0 – 1.9.5p1)이 영향을 받았습니다. Sudo 개발자는 1.9.5p2 릴리스를 통해 문제를 패치했습니다.
Sudo 취약점 공격에 대한 사이버 방어를 강화하려면 ArcSight를 위한 SOC Prime의 전용 규칙 팩을 다운로드할 수 있습니다:
https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/
2021년 2월 2일 업데이트: SOC Prime 팀은 Sudo 힙 버퍼 오버플로우 취약점과 관련된 익스플로잇 시도를 탐지하기 위한 새로운 Sigma 규칙을 발표했습니다. 탐지 콘텐츠는 우리의 Threat Detection Marketplace 플랫폼에서 다운로드할 수 있습니다.
가능한 Sudo 힙 기반 버퍼 오버플로우 익스플로잇 방법 [sudoedit 변형] (CVE-2021-3156)
Sudo 취약점 확인 탐지 패턴 (CVE-202103156)
규칙은 다음 플랫폼에 번역되었습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
전술: 권한 상승,
기술: 권한 상승을 위한 익스플로잇 (T1068)
최신 Threat Detection Marketplace 업데이트를 주목하고, 이 고약한 취약점과 관련된 새로운 SOC 콘텐츠를 놓치지 마세요. 모든 새로운 규칙이 이 게시물에 추가될 것입니다.
무료 구독 받기: 90,000개 이상의 탐지 및 대응 규칙을 집계하여 사이버 방어를 선제적으로 제공하는 세계 선도적 콘텐츠 서비스 플랫폼인 Threat Detection Marketplace. 자신의 탐지 콘텐츠를 만들고 싶으신가요? 우리의 Threat Bounty Program에 참여하세요 그리고 글로벌 위협 사냥 이니셔티브에 기여하세요.
