상세 컨텐츠

본문 제목

악성 DNS 응답 하나로 원격으로 리눅스 머신 해킹 가능해

국내외 보안동향

by 알약(Alyac) 2017. 6. 30. 15:43

본문

Your Linux Machine Can Be Hacked Remotely With Just A Malicious DNS Response


리눅스의 Init 프로세스 및 Systemd 프로세스에서 DNS 응답을 통해 원격으로 버퍼 오버플로우를 발생시켜 해커들이 타겟 머신에서 악성 코드를 실행할 수 있도록 허용하는 치명적인 취약점이 발견 되었습니다.


이 취약점은 CVE-2017-9445로 등록 되었으며, 로컬 프로그램들에 네트워크 명 resolution을 제공하는 ‘systemd-resolved’ DNS 응답 핸들러 컴포넌트의 ‘dns_packet_new’ 함수에 존재합니다.


보안 권고문에 따르면, 시스템이 공격자가 제어하는 DNS 서비스에서 호스트명을 검색하려고 시도할 때 특별히 제작 된 악성 DNS 응답이 ‘systemd-resolved’ 프로그램을 원격으로 충돌시킬 수 있다고 밝혔습니다. 


결국, 특별히 제작된 DNS 응답이 버퍼 오버플로우를 발생시켜 메모리를 덮어 씌우는 방식으로 공격자가 원하는 코드를 실행시키는 것입니다. 


이는 공격자들이 그들의 악성 DNS 서비스를 통해 타겟 시스템이나 서버에서 원격으로 어떠한 악성코드도 실행시킬 수 있다는 것을 의미합니다.


어떤 Ubuntu 개발자는 “systemd 233까지, systemd-resolved의 dns_packet_new에 전달 되는 특정 크기들로 인해 너무 작은 버퍼를 할당하게 될 수 있다. 악성 DNS 서버는 system-resolved가 너무 작은 버퍼를 할당하도록 속일 수 있도록 특별히 제작 된 TCP 페이로드로 응답하는 방식으로 이를 악용할 수 있으며, 이후 끝 부분에 임의의 데이터를 쓸 수 있게 된다.”고 밝혔습니다.


이 취약점은 2015년 6월 발표된 Systemd 버전 223부터 올해 3월 출시 된 Systemd 버전 233을 포함한 이후 모든 버전에 존재합니다.

또한 이 버그는 Ubuntu 버전 17.04 및 16.10, Debian 버전 Stretch(Debian 9), Buster(10), Sid(불안정한 버전)을 포함한 Systemd를 사용하는 다른 다양한 리눅스 배포판에도 존재합니다.


현재 해당 취약점에 대한 보안패치가 발표되었으니, 사용자들과 시스템 관리자들은 가능한 빨리 이를 설치하고 리눅스 배포판을 업데이트할 것을 강력히 권고드립니다. 




출처 :

http://thehackernews.com/2017/06/linux-buffer-overflow-code.html



관련글 더보기

댓글 영역