Gnome 파일 매니저의 치명적인 코드 인젝션 취약점, 리눅스 사용자들을 해킹에 노출시켜

Critical Code Injection Flaw In Gnome File Manager Leaves Linux Users Open to Hacking

한 보안 연구원이 GMONE Files 파일 매니저의 썸네일 핸들러 컴포넌트에서 해커들이 타겟 리눅스 기기에서 악성 코드를 실행시킬 수 있도록 허용할 수 있는 코드 인젝션 취약점을 발견했습니다.

Bad Taste라 명명 된 이 취약점 (CVE-2017-11421)은 독일의 보안 연구원이 발견했으며, 블로그에 이 취약점을 시연하기 위한 PoC 코드도 공개하였습니다.

이 코드 인젝션 취약점은 윈도우 실행 파일들로부터 (.exe/.msi/.dll/.lnk) 썸네일을 생성하는 GNOME용 툴인 “gnome-exe-thumbnailer”에 있으며, 오픈하기 위해서는 사용자들의 시스템에 Wine 프로그램이 설치 되어 있어야 합니다.

Wine은 윈도우 프로그램들이 리눅스 OS에서 동작할 수 있도록 하는 무료 오픈소스 소프트웨어입니다.

Moskopp은 .msi 파일을 포함한 경로로 이동하던 중, GNOME 파일들이 실행 가능한 입력과 같은 형식의 파일명을 사용하고 있었으며, 이미지 썸네일 생성을 위해 이를 실행한다는 것을 발견했습니다.

이 취약점을 악용하기 위해서 공격자는 악성 VBScript 코드를 포함한 윈도우 인스톨러 파일(MSI)을 제작하여 사용자의 다운로드를 유도하며, 만약 취약한 시스템에서 다운로드 될 경우, 사용자의 어떠한 추가행동 없이 기기 해킹이 가능하게 됩니다. 

이 취약점은 해커들이 다른 공격벡터를 사용해서도 악용이 가능한 것으로 나타났습니다. 

예를 들면, 악성 파일이 저장 된 USB 드라이브를 직접적으로 삽입하거나, 드라이브-바이-다운로드 공격을 통해 악성 파일을 전달하는 등의 방법을 사용할 수 있습니다.

Bad Taste 취약점 조치방법

보안연구원은 이 취약점을 GNOME 프로젝트 및 Debian 프로젝트에 제보했으며, 현재 두 곳 모두 해당 취약점을 패치하였습니다. 

이 취약점은 Gnome-exe-thumbnailer 0.9.5 이전 버전에 영향을 미치기 때문에, GNOME 데스크탑과 함께 리눅스 OS를 사용 중이라면, 즉시 버전 확인 후 업데이트 하는 것이 좋습니다. 

만약 바로 업데이트가 불가한 상황이라면, 임시방편으로 다음과 같은 조치를 취할 수도 있습니다. 

/usr/share/thumbnailers에 있는 모든 파일 삭제

GNOME 파일 비활성화

자동으로 파일명을 코드로써 실행하는 모든 소프트웨어들을 제거

또한 개발자들에게는 “입력을 처리하기 전 완전히 인식하기 위해” 파일을 파싱할 때 "bug-ridden ad-hoc parsers"를 사용하지 말고, 템플릿 대신 unparser를 사용하라고 권고하였습니다.

출처 :

http://thehackernews.com/2017/07/linux-gnome-vulnerability.html

http://news.dieweltistgarnichtso.net/posts/gnome-thumbnailer-msi-fail.html