포스팅 내용

국내외 보안동향

구글, 폭넓게 사용 되는 Dnsmasq 네트워크 소프트웨어에서 보안 취약점 7개 발견


Google Finds 7 Security Flaws in Widely Used Dnsmasq Network Software


보안 연구원들이 인기 있는 오픈 소스 Dnsmasq 네트워크 서비스 소프트웨어에서 보안 취약점을 무려 7개나 발견했습니다. 이 중 3개는 취약한 시스템에서 원격 코드 실행을 야기시켜 시스템을 하이잭하는데 사용될 수 있습니다.


Dnsmasq는 DNS 포워더, DHCP(Dynamic Host Configuration Protocol) 서버, 라우터 광고 및 소기업을 위한 네트워크 부팅 서비스를 제공하기 위해 설계 된 경량 네트워크 어플리케이션 툴입니다.


Dnsmasq는 Ubuntu, Debian을 포함한 리눅스 배포판들, 홈라우터, 스마트폰, IoT 기기들 등 많은 기기들 및 OS에 선 탑재 되어 출시 됩니다. shodan에서 “Dnsmasq”를 검색하면 전 세계에서 약 110만개의 결과를 보여줍니다.


최근 구글의 보안 팀이 Dnsmasq를 분석해 DNS 관련 원격 코드 실행, 정보 유출, DoS 이슈 등을 포함한 7개의 보안 이슈들이 DNS나 DHCP를 통해 촉발될 수 있다는 사실을 발견했습니다.


구글의 보안팀은 “7개의 문제들을 발견했으며, 이 문제들의 심각성을 파악한 후 내부용 PoC를 만들었습니다. 또한 적절한 패치를 만들고 이슈를 완화시키기 위해 Dnsmasq 측의 Simon Kelley와 협력했습니다.”고 밝혔습니다.


이 취약점은 현재 패치 된 상태이기 때문에, 구글의 연구원들은 이 취약점에 대한 PoC 익스플로잇 코드들과 세부 정보들을 공개했습니다.

발견 된 취약점들의 목록:


CVE 

영향

요인 

설명 

PoC 

 CVE-2017-14491 

RCE 

DNS

 힙 기반의 오버플로우(2 bytes).

2.76 및 이 버전의 커밋 이전에는

오버플로우가 제한 되지 않았음

PoC

Instructions

ASAN report

 CVE-2017-14492

RCE 

DHCP 

힙 기반의 오버플로우 

PoC

Instructions

ASAN report

 CVE-2017-14493

RCE 

DHCP 

스택기반의 오버플로우 

PoC

Instructions

ASAN report

 CVE-2017-14494

Information Leak 

DHCP 

ASLR 우회를 도움 

PoC

Instructions

  CVE-2017-14495 

OOM/DoS 

DNS 

이 부분의 free() 누락 

PoC

Instructions

 CVE-2017-14496

DoS

DNS 

이 부분의 유효하지 않은 바운더리 체크

대규모 memcpy로 이어지는 정수 오버플로우  

PoC

Instructions

ASAN report

 CVE-2017-13704

DoS 

DNS

Bug collision with cve-2017-13704 

 


CVE-2017-14491—DNS 기반의 원격 코드 실행 취약점으로 Dnsmasq의 2.76 이전 버전에 존재합니다. 이 취약점은 제한 되지 않은 힙 오버플로우를 허용해 직접 노출 된 네트워크 및 내부 네트워크 설정에 영향을 미쳐 가장 치명적인 것으로 분류 되었습니다.


CVE-2017-14492—DHCP 기반의 힙 오버플로우 문제로 인해 발생하는 또 다른 원격 코드 실행 취약점입니다.


CVE-2017-14493—스택 버퍼 오버플로우로 인해 발생하는 또 다른 DHCP 기반의 원격 코드 실행 버그입니다. 이 취약점은 아래의 CVE-2017-14494와 함께 사용될 경우 매우 쉽게 악용될 수 있습니다.


CVE-2017-14494—DHCP에서 발생하는 정보 유출 취약점입니다. 공격자들은 이를 CVE-2017-14493과 함께 악용해 ASLR 보안 메커니즘을 우회하고 타겟 시스템에서 임의의 코드를 실행합니다.


CVE-2017-14495—DNS를 통해 메모리를 고갈시켜 DoS 공격을 실행하는데 악용될 수 있는 취약점입니다. 이 취약점은 --add-mac, --add-cpe-id 또는 --add-subnet과 함께 사용 될 경우에만 영향을 미칩니다.


CVE-2017-14496—특히 구글의 안드로이드 OS가 이 DoS 문제에 영향을 받습니다. 로컬 해커나 이 기기에 테더링 중인 공격자가 악용할 수 있습니다. 하지만 구글은 이 서비스 자체가 샌드박싱 되어 있기 때문에, 안드로이드 사용자에게 미칠 영향은 감소된다고 밝혔습니다.


CVE-2017-14497— 대규모 DNS 쿼리가 소프트웨어를 충돌시킬 수 있는 또 다른 DoS 이슈입니다.


이 모든 문제는 Dnsmasq 2.78에서 수정 되었으므로, 사용자들은 가능한 빨리 업데이트를 하는 것이 좋습니다.


기기를 패치하기 위해서는, 시스템에서 패키지를 업데이트해야합니다. 구글은 2017년 9월 5일 공개 된 10월의 안드로이드 보안 업데이트에서 이 취약점을 패치해 안드로이드 파트너들에 전달했습니다.


여기에 영향을 받는 다른 구글의 서비스들도 업데이트 될 예정입니다. Kubernetes 버전 1.5.8, 1.6.11, 1.7.7, 1.8.0에서도 패치 된 Dnsmasq로 업데이트 되었습니다.





출처 : 


저작자 표시
신고
티스토리 방명록 작성
name password homepage