>
연구(Insikt)

취약점 집중 조명: 더티 파이프

게시일: 2022년 5월 26일
작성자: Insikt Group®

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 CVE-2022-0847에 대한 개요, 기술 분석 및 완화 조치를 제공합니다. 출처로는 Recorded Future® 플랫폼, GitHub, 오픈 소스 보고 등이 있습니다. 이 보고서의 대상은 CVE-2022-0847 익스플로잇의 작동 방식과 현재 사용할 수 있는 완화 조치에 관심이 있는 방어자 및 분석가입니다.

Executive Summary

CVE-2022-0847(더티 파이프)은 2022년 3월 초에 공개된 Linux 커널 취약점입니다. 이 취약점은 Linux 커널 버전 5.8에 도입되었으며 임의의 파일 덮어쓰기를 통해 로컬 권한 상승을 허용합니다. 개념 증명(POC) 익스플로잇의 예시가 공개와 함께 공개되었고, 이후 여러 다른 POC가 GitHub에 게시되었습니다. 공개 익스플로잇은 신뢰할 수 있으며 대상 파일에 대한 읽기 권한이 있어야 하는 등 몇 가지 전제 조건만 충족하면 작동합니다. 이 취약점의 특성을 고려할 때 권한 상승의 표적이 될 수 있는 파일은 매우 다양하므로 이 보고서에서는 기존 POC 익스플로잇에 사용되는 기술을 중점적으로 설명합니다. CVE-2022-0847은 Linux 커널 버전 5.16.11, 5.15.25 및 5.10.102에서 패치되었으며, 모든 주요 Linux 기반 배포판은 패키지 저장소에 패치를 통합했습니다. 조직은 가능한 한 빨리 권장 패치를 적용해야 합니다.

주요 관찰 사항

  • CVE-2022-0847은 약 2년 동안 야생에 존재했지만, 공개되기 전에 악용되었다는 증거는 없습니다.
  • 여러 POC 익스플로잇이 공개되어 있어 정교하지 않은 공격자들도 이 취약점을 쉽게 익스플로잇할 수 있습니다.
  • CVE-2022-0847에 대한 익스플로잇은 신뢰할 수 있으며 취약한 시스템에서 실행하면 공격자가 루트 액세스 권한을 얻을 수 있습니다. 루트 액세스를 통해 위협 행위자는 민감한 파일 읽기, 악성 소프트웨어 설치, 사용자 사칭, 잠재적으로 네트워크 전체에서 측면 이동과 같은 관리 작업을 수행할 수 있습니다.
  • CVE-2022-0847에 대한 유일한 완화 방법은 모든 주요 Linux 배포판에서 사용할 수 있는 보안 패치를 적용하는 것입니다.
  • 레코디드 퓨처는 CVE-2022-0847이 공개된 이후 90개 이상의 언더그라운드 포럼에서 이 취약점에 대한 언급을 관찰했으며, 이는 향후 캠페인에서 취약점을 악용하려는 일반적인 관심과 잠재적 의도를 보여줍니다.

배경

CVE-2022-0847은 Linux 커널의 권한 상승 취약점으로, 공격자가 파일에 대한 읽기 액세스 권한이 있는 경우 임의의 파일을 덮어쓸 수 있습니다. 이 취약점은 5.8 버전에서 Linux 커널에 도입되었으며, 발견 및 패치되기 전까지 약 2년 동안 존재했습니다. 맥스 켈러만이 발견했는데, 그는 CVE-2016-5195(일명 '더티 카우')와 유사하여 '더티 파이프'라는 별명을 붙였습니다. 켈러만은 2022년 2월 19일에 이 취약점을 발견하고 다음 날 Linux 커널 보안 팀에 버그 보고서, POC 익스플로잇 및 패치를 제출하여 조율된 취약점 공개를 시작했습니다. 패치가 적용된 후 이 취약점은 2022년 3월 7일에 공개적으로 공개되었습니다. 현재로서는 CVE-2022-0847이 공개되기 전에 야생에서 익스플로잇되었다는 증거는 없습니다.

이 버그 자체는 CVSS 3.0 척도에서 높은 등급(7.8)을 받았습니다. Linux 기반 운영 체제(OS)의 광범위한 특성을 고려할 때, 이 취약점은 Linux 기반 OS를 실행하는 데스크톱과 서버뿐만 아니라 많은 디바이스에 영향을 미칩니다. 취약한 디바이스에는 다양한 사물 인터넷(IoT) 디바이스, 라우터, Android 태블릿 및 휴대폰이 포함됩니다. 이 취약점을 원격으로 악용하는 것은 불가능하지만, 원격 코드 실행(RCE) 취약점과 연결되어 로컬 액세스 없이 사용될 수 있습니다. 또한 5.8 이전의 Linux 커널 버전과 패치된 버전으로 업데이트된 커널 버전은 영향을 받지 않으므로 모든 디바이스가 취약한 것은 아닙니다.

언더그라운드 및 다크 웹 소스를 검색하는 과정에서 CVE-2022-0847과 관련된 수많은 토론을 확인했습니다. 위협 행위자가 특정 CVE를 사용하여 특정 조직을 표적으로 삼겠다는 의도를 공개적으로 밝히는 경우는 드물지만, 다크웹 포럼 회원들이 공유하는 일반적인 관심사는 위협 행위자가 악성 캠페인에 CVE-2022-0847을 사용하려는 의도를 나타냅니다. 아래 그림 1과 같이 지난 2개월 동안 여러 다크웹 포럼에서 CVE-2022-0847에 대한 120개의 참조를 확인했습니다.

취약점-스포트라이트-더티-파이프-그림-1.png 그림 1: 다크웹 포럼에서 CVE-2022-0847 또는 더티 파이프에 대한 참조(출처: Recorded Future)

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련