웜으로 둔갑 가능한 코드 실행 버그, 7년 동안 Samba에 존재했던 것으로 밝혀져

웜으로 둔갑 가능한 코드 실행 버그, 7년 동안 Samba에 존재했던 것으로 밝혀져

A wormable code-execution bug has lurked in Samba for 7 years. Patch now!

Samba 네트워킹 유틸리티의 관리자들이 심각한 패치가 널리 설치될 때까지 사용자들에게 심각한 위협을 초래할 수 있는 코드 실행 취약점을 패치했습니다.

7년 동안 존재해 온 결점인 CVE-2017-7494는 몇 가지 조건만 충족된다면 코드 한 줄로도 악성 코드를 실행시키는데 악용될 수 있는 것으로 확인되었습니다.

요구사항에는

- 인터넷에서 접근이 가능한 포트 445를 통해 파일 및 프린터를 공유하고

- 공유 파일에 쓰기 권한이 있도록 구성하고

- 이러한 파일들의 경로에 알려진/추측 가능한 서버를 사용하는 취약한 컴퓨터가 필요합니다.

이 조건들이 충족될 경우, 원격의 공격자들은 취약한 플랫폼에 따라 제한 없는 루트 권한으로 원하는 모든 코드를 업로드하고 서버가 이를 실행시키도록 할 수 있습니다.

Samba 관리자들은 권고문을 통해 “3.5.0 이후의 모든 Samba 버전들은 원격 코드 실행 결점에 취약하다. 따라서 악성 클라이언트가 공유 라이브러리를 쓰기 가능한 공유에 업로드한 후, 서버가 이를 로드 및 실행하도록 할 수 있다.”고 밝혔습니다. 또한 취약한 버전을 사용할 경우, 가능한 빨리 패치를 설치하라고 권고하였습니다.

WannaCry까지는 아니지만, 충분히 유사해

연구원들은 이 익스플로잇이 “웜으로 둔갑 가능하다”고 표현했습니다. 이는 최종 사용자의 어떠한 행동 없이도 취약한 장비에서 다른 취약한 장비로 빠르게 자기 자신을 확산시킬 수 있다는 의미입니다.

Samba는 1991년 Unix에서 파생된 OS들을 사용하는 서버에서 쉽게 파일을 공유할 수 있는 방안으로 소개되었습니다. Samba는 Unix 및 Linux 머신들이 Active Directory 및 Windows Server Domain 등을 포함한 다양한 윈도우 네트워킹 기능들과 상호 운용될 수 있는 수단을 제공했습니다. 이 결점이 추가된 버전은 Samba 3.5.0으로, 2010년 7월 공개되었습니다.

이 취약점은 WannaCry 랜섬웨어 웜이 악용한 윈도우의 취약점과 비교됩니다.  WannaCry랜섬웨어가 악용한 SMB 취약점 또한 5년 이상 되었으며, 널리 사용되는 Server message block 프로토콜에 존재했습니다. 해당 취약점을 악용하면 최종 사용자의 아무런 상호 작용이 필요 없는 안정적인 코드 실행 익스플로잇을 허용할 수 있습니다. 윈도우에서 SMB 취약점이 처음 발견된 것은 지난 4월인데, 당시 많은 보안 전문가들이 이를 악용하기 힘들 것이라 추측했습니다. 적은 수의 컴퓨터들만이 파일 및 프린터 공유 기능을 인터넷에 노출시킬 것이라 생각했기 때문입니다. 하지만 WannaCry는 엄청난 속도로 확산되어 이러한 가정을 무색하게 했습니다.

보안전문가 Dan Tentler는 477,000대 이상의 Samba를 사용하는 컴퓨터들이 포트 445를 노출시키고 있으나, 이 중 얼마나 많은 장비들이 취약한 버전을 사용하고 있는지는 분명하지 않다고 말했습니다.

윈도우와 Samba 취약점 사이에는 몇 가지 분명한 차이점들이 있습니다. SMB가 기본적으로 활성화 되어있는 윈도우와는 달리, 리눅스에서는 이러한 기능이 모든 리눅스 배포판에서 반드시 수동으로 활성화되어야 합니다. 또 다른 주요 차이점은 NSA가 개발하고 유출된, 무기화된 백도어인 “DoublePulsar”와 견줄 만한 것이 없다는 것입니다. DoublePulsar는 WannaCry가 윈도우 결함을 쉽게 활용할 수 있도록 도왔습니다.

하지만 여전히 위험 요소는 존재하며, 인터넷에 노출되지 않아도 가능한 다른 잠재적인 공격 시나리오들이 존재합니다.

예를 들면, 기업 네트워크 내의 컴퓨터 하나를 성공적으로 해킹한 악성 스팸 메시지는 다른 컴퓨터들로 확산시키는데 이 Samba 취약점을 악용할 수 있습니다. 해당 취약점이 쉽게 악용될 수 있다는 점을 감안할 때, 빠른 시간 내에 대량의 기기들을 감염시킬 수 있을 것으로 추측됩니다. 연구원들은 이 취약점으로 인해 NAS 기기가 있는 홈 네트워크들도 공격에 노출될 수 있다고 경고했습니다.

보안전문가 HD Moore는, 보안 전문가와 해커들이 사용하는 Metasploit 프레임 네트워크의 경우, 이 익스플로잇이 24시간 내에 공격이 가능할 것으로 보인다고 밝혔습니다. 그는 Ubuntu를 사용하는 컴퓨터 및 Synology에서 만든 NAS 기기의 Samba에서 성공적으로 해당 취약점을 악용한 사례를 보여주는 아래 이미지들을 포스팅했습니다.
 

<이미지 출처  : https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/>

Samba 사용자들은 OS나 기기 제조사들이 픽스를 제공하는지 반드시 확인해보아야 합니다. 즉시 패치가 불가능할 경우 임시 방편으로 아래 라인을 Samba 설정 파일에 추가한 후 네트워크의 SMB 데몬을 재시작하시기 바랍니다.

nt pipe support = no

이로써 클라이언트들이 일부 네트워크 컴퓨터들에 완전히 접속하는 것을 방지할 수 있으며, 연결된 윈도우 기기들의 일부 기능들을 비활성화 시킬 수 있습니다.

이 익스플로잇의 악용이 쉽다는 점과 신뢰성을 감안할 때, 이 홀은 가능한 빨리 패치하는 것을 권고 드립니다.

참고 :
https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/
https://access.redhat.com/security/cve/CVE-2017-7494