Linux에서 Stack Clash 취약점 발견!

지난달, Unix를 기반으로 하는 여러 시스템에서 "Stack Clash"취약점이 발견되었습니다. 

해당 취약점을 악용하면 공격자는 UNIX 시스템에서 root권한을 획득하여 모든 권한을 장악할 수 있습니다. 

해당 취약점은 UNIX를 기반으로 하고 있는 시스템, 예를들어 Linux, OpenBSD, NetBSD, FreeBSD 및 Solaris등에 존재합니다. 보안연구원들은 i386과 amd64플랫폼에서만 Stack Clash 취약점의 영향을 테스트 해 보았지만,다른 플랫폼도 역시 영향을 받을 가능성이 있다고 추측하였습니다. 

해당 문제점은 2005년, Linux가 Stack guard page 매커니즘을 도입한 후 처음 발견되었습니다. 이번에 발견된 취약점의 핵심도 역시 2005년부터 이미 존재하던 문제점으로, 패치를 진행하였지만, 동일한 문제점이 발생하여 2010년 또한번 패치가 되었습니다. 하지만 이번에 또 한번 취약점이 발견되었으며 결국 3번째 동일한 취약점이 발견된 것입니다.  

Stack Clash 취약점이란?

스택메모리란 응용 프로세스로, 컴퓨터 RAM중 코드를 실행하는 메모리 영역입니다. 응용프로세스가 점점 커질수록 메모리 영역 역시 점점 가득차게 되는 것입니다. 

문제는, 스택메모리가 과다하게 증가하여 다른 프로그램 스택메모리에 근접하게 된다면, 혼란이 야기될 수 있습니다. 프로그램의 스택 메모리가 과다하게 증가하여 힙 메모리에 근접하게 되면, 이 순간에 공격자는 임의의 데이터를 인젝션 한 후 힙메모리 정보를 조작하거나, 일부 힙메모리를 덮어 쓰거나 심지어 중요 데이터구조를 변경할 수도 있습니다. 

2005년부터 2010년, 그리고 다시 2017년, 보안연구원들은 이미 힙스택메모리 중 유출된 코드를 악용한 경우를 발견하였습니다. 

해당 취약점의 PoC는 이미 공개된 상황입니다.

영향받는 제품

Linux,OpenBSD,NetBSD,FreeBSD, Solaros

Debian，Ubuntu 및 CentOS 의 Sudo 

Debian의 Exim

Solaris 11의 rsh

Red Hat Enterprise Linux 5~7

Enterprise MRG 2.5, Virtualization 및 RHEL Atomic Host 

패치방법

최신 업데이트

업데이트가 불가능 한 경우, 임시방편으로 RLIMIT_STACK 및 RLIMIT_AS 값을 낮게 설정

참고 : 

https://access.redhat.com/security/vulnerabilities/stackguard

http://www.theregister.co.uk/2017/06/20/stack_clash_linux_local_root_holes/

https://www.bleepingcomputer.com/news/security/stack-clash-vulnerability-grants-root-access-on-linux-and-other-unix-oses/