Shim 부트로더의 RCE 취약점으로 인해 Linux 배포판이 타격을 입었습니다.

많은 주요 Linux 배포판이 보안 부팅 프로세스 중에 사용하는 작은 코드 조각인 Linux shim에는 공격자가 영향을 받는 시스템을 완전히 제어할 수 있는 방법을 제공하는 원격 코드 실행 취약점이 있습니다.

다음을 포함하여 보안 부팅을 지원하는 모든 Linux 배포판 레드햇, Ubuntu, 데비안, 및 SUSE CVE-2023-40547로 식별된 결함의 영향을 받습니다. 이 결함은 관리자인 Red Hat이 최근 공개한 Linux shim의 XNUMX개 취약점 중 가장 심각한 것입니다.심 15.8). 이 버그를 발견해 레드햇에 보고한 마이크로소프트 보안대응센터 연구원 빌 데미르카피(Bill Demirkapi)는 다음과 같이 설명했다. 지난 10년 동안 서명된 모든 Linux 부트로더.

범위를 벗어난 쓰기 오류

Red Hat은 권고문에서 이 버그는 HTTP 응답을 구문 분석할 때 공격자가 제어하는 ​​값을 신뢰하는 심 부트 코드와 관련이 있다고 밝혔습니다. "이 결함으로 인해 공격자는 특정 악의적인 HTTP 요청을 작성하여 완전히 제어된 범위를 벗어난 쓰기 기본 기능과 완전한 시스템 손상을 초래할 수 있습니다."

NVD(National Vulnerability Database)와 Red Hat은 취약점의 심각도와 악용 가능성에 대해 약간 다른 견해를 가지고 있습니다. 그만큼 NVD에서 버그를 할당했습니다. CVSS 9.8 척도에서 10점 만점에 3.1점에 가까운 최대 심각도 등급을 받았으며 공격자가 거의 복잡하지 않고 사용자 상호 작용이나 권한이 필요하지 않은 네트워크를 통해 악용할 수 있는 것으로 식별되었습니다.

Red Hat은 이 버그에 좀 더 적당한 심각도 점수인 8.3을 부여했으며 인접한 네트워크를 통해서만 악용할 수 있고 공격 복잡성이 높다고 설명했습니다. 예를 들어 CVE-2023-40547을 "중간" 심각도 버그라고 부르고 SUSE에서는 일반적으로 심각보다 한 단계 낮은 "중요" 등급을 할당하는 등 영향을 받는 다른 Linux 배포판의 유지 관리 담당자가 Ubuntu와 공유한 평가였습니다.

Red Hat은 다양한 심각도 점수에 대해 다음과 같이 설명했습니다. “오픈 소스 구성 요소의 CVSS 점수는 공급업체별 요소(예: 버전 또는 빌드 체인)에 따라 달라집니다. 따라서 Red Hat의 점수와 영향 등급은 NVD 및 기타 공급업체와 다를 수 있습니다.” 하지만 NVD와 Red Hat은 이 취약점이 데이터 기밀성, 무결성 및 가용성에 큰 영향을 미친다는 점에 동의했습니다.

심 부트로더는 기본적으로 UEFI(Unified Extensible Firmware Interface) 기반 시스템의 기본 운영 체제 부트로더보다 먼저 로드되는 작은 앱입니다. 이는 UEFI 펌웨어와 Linux의 경우 일반적으로 GRUB 또는 시스템 부팅인 기본 OS 부트로더 사이의 브리지 역할을 합니다. 그 기능은 메인 OS 부트로더를 로드하고 실행하기 전에 확인하는 것입니다.

다중 공격 벡터

연구원 소프트웨어 공급망 보안 공급업체 Eclypsium 확인 세 가지 다른 길 공격자가 취약점을 악용할 수 있는 방법입니다. 하나는 중간자(MiTM) 공격을 통해 공격자가 피해자와 HTTP 부팅을 지원하기 위해 파일을 제공하는 HTTP 서버 사이의 HTTP 트래픽을 가로채는 것입니다. "공격자는 피해자와 합법적인 서버 사이의 모든 네트워크 세그먼트에 위치할 수 있습니다."

취약한 시스템에 대해 충분한 권한을 가진 공격자는 EFI(Extensible Firmware Interface) 변수 또는 EFI 파티션의 데이터를 조작하여 로컬로 취약점을 악용할 수도 있습니다. “이것은 라이브 Linux USB 스틱을 사용하여 수행할 수 있습니다. 그런 다음 원격의 취약한 심이 시스템에 로드되도록 부팅 순서를 변경할 수 있습니다.”

피해자와 동일한 네트워크에 있는 공격자는 사전 부팅 실행 환경을 조작하여 취약한 심 부트로더를 체인 로드할 수도 있다고 Eclypsium은 말했습니다. “이 취약점을 악용하는 공격자는 커널이 로드되기 전에 시스템에 대한 제어권을 얻습니다. 이는 그들이 특권적인 액세스 권한을 갖고 커널과 운영 체제에 의해 구현된 모든 제어를 우회할 수 있는 능력을 갖는다는 것을 의미합니다.”라고 공급업체는 말했습니다.

과장된 심각성?

그러나 일부 보안 전문가는 이 취약점을 악용하려면 고도의 복잡성과 우연한 상황이 필요하다고 인식했습니다. Menlo Security의 수석 보안 설계자인 Lionel Litty는 공격자가 취약한 장치에 대해 이미 관리자 권한을 얻어야 하기 때문에 악용 기준이 높다고 말했습니다. 또는 네트워크 부팅을 사용하는 장치를 대상으로 해야 하며 대상 장치의 로컬 네트워크 트래픽에 대해 중간자 공격을 수행할 수도 있어야 합니다.

“취약점을 발견한 연구원에 따르면 로컬 공격자는 EFI 파티션을 수정하여 부팅 순서를 수정한 다음 취약점을 활용할 수 있습니다.”라고 Litty는 말합니다. “[그러나] EFI 파티션을 수정하려면 피해자 컴퓨터에 대한 완전한 권한을 가진 관리자여야 합니다.”라고 그는 말합니다.

장치가 네트워크 부팅을 사용하고 있고 공격자가 트래픽에 대해 MITM을 수행할 수 있는 경우 버퍼 오버플로를 목표로 삼을 수 있습니다. Litty는 “그들은 버그를 유발하고 이 시점에서 부팅 순서를 제어할 수 있는 잘못된 형식의 HTTP 응답을 반환했습니다.”라고 말했습니다. 그는 HTTP 부팅이나 PXE(Pre-Boot Execution Environment) 부팅을 사용하는 시스템을 갖춘 조직은 특히 부트 서버와의 통신이 공격자가 트래픽 중간에 끼어들 수 있는 환경에 있는 경우 주의해야 한다고 덧붙였습니다.

JFrog의 보안 연구 수석 이사인 Shachar Menashe는 취약점의 심각도에 대한 Red Hat의 평가가 NVD의 "과장된" 점수보다 더 정확하다고 말합니다.

불일치에 대한 두 가지 가능한 설명이 있다고 그는 말합니다. “NVD는 취약점에 대한 철저한 분석이 아닌 설명의 키워드를 기반으로 점수를 제공했습니다.”라고 그는 말합니다. 예를 들어, "악의적인 HTTP 요청"이 자동으로 네트워크 공격 벡터로 변환된다고 가정합니다.

NVD는 또한 피해자 컴퓨터가 이미 로컬 네트워크 외부의 서버에서 HTTP를 통해 부팅하도록 구성되어 있고 공격자가 이미 이 HTTP 서버를 제어할 수 있는 최악의 시나리오를 암시할 수도 있습니다. Shachar는 “이것은 CVE와 관련이 없더라도 엄청난 문제를 일으킬 가능성이 매우 낮은 시나리오입니다.”라고 말했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/rce-vulnerability-in-shim-bootloader-impacts-all-linux-distros