리눅스에서 최고 심각도 버그 발견, 루트 권한으로 권한 상승 가능

polkit 인증 시스템 서비스의 악명 높은 보안 구멍은 대부분의 현대 리눅스 배포판을 권한 상승 공격의 위험에 노출시킵니다. 심각한 문제 (CVE-2021-3560)는 해커가 터미널에서 간단한 명령을 사용하여 루트 권한을 얻을 수 있게 합니다. 이 버그는 Red Hat Enterprise Linux, Fedora, Debian 및 Ubuntu에서 확인되었습니다. 하지만, 좋은 소식은 2021년 6월 3일에 패치가 발행되었다는 것입니다.

CVE-2021-3560 설명

According to the 연구에 따르면 GitHub Security Lab의 전문가인 Kevin Backhouse에 따르면, CVE-2021-3560는 거의 10년 전에 polkit 버전 0.113 출시와 함께 도입되었습니다. 이 문제가 오랫동안 눈치채지 못한 이유는 최근에서야 문제가 있는 polkit 버전을 사용하는 현대 리눅스 배포판이 등장했기 때문입니다.

이 결함 자체는 낮은 권한의 프로세스가 인터럽트된 권한 요청을 잘못 처리하여 발생하는 인증 우회 문제입니다. 그 결과, 권한이 없는 해커는 타이밍 공격을 통해 루트 셸을 얻을 수 있습니다. 특히, 이 취약점의 공격 과정은 간단합니다. 공격자는 bash, kill, 또는 dbus-send와 같은 표준 도구와 터미널의 몇 가지 명령만 있으면 됩니다. Kevin Backhouse는 이 결함에 대한 개념 증명(Proof-of-Concept, PoC) 익스플로잇 영상을 발표하였으며, 이것은 이 결함을 쉽게 트리거할 수 있는 빠르고 간단한 방법을 보여줍니다.

현재 Red Hat Enterprise Linux 8, Fedora 21 (및 이후 버전), Ubuntu 20.04, Debian 테스트(“bullseye”)를 포함한 여러 리눅스 배포판이 영향을 받고 있는 것으로 확인되었습니다. 간단한 공격 방식과 다수의 취약 설치 환경으로 인해 이 결함은 매우 위험합니다. 사용자는 가능한 한 빨리 패치해야 하며, 이 문제에 대한 가능한 완화책은 없습니다. 이 문제에 대한 가능한 완화책은 없습니다.

CVE-2021-3560 탐지

인프라 보호하고 수동 권한 상승에 사용되는 악성 명령을 탐지하려면 SOC Prime 팀이 제공하는 독점 Sigma 규칙 릴리스를 다운로드하세요.

https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma 

규칙은 다음 언어로 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

전술: 권한 상승

기술: 권한 상승을 위한 취약점 활용 (T1068)

사이버 방어 역량을 강화하기 위해 Threat Detection Marketplace의 무료 구독을 받으세요! 우리의 SOC 콘텐츠 라이브러리는 100K 이상의 탐지 및 대응 알고리즘을 직접 CVE 및 MITRE ATT&CK® 프레임워크에 매핑하여 악명 높은 사이버 공격을 침입 초기 단계에서 견딜 수 있게 합니다. 자신의 탐지를 만들고 싶으신가요? 안전한 미래를 위해 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty에 참여하세요