웜으로 둔갑 가능한 코드 실행 버그(CVE-2017-7497), 7년동안 Samba에 존재했던 것으로 밝혀져

A wormable code-execution bug has lurked in Samba for 7 years. Patch now!

Samba 네트워킹 유틸리티의 관리자들이 심각한 패치가 널리 설치 될 때까지 사용자들에게 심각한 위협을 초래할 수 있는 코드 실행 취약점을 패치 했습니다.

7년동안 존재해온 결점인 CVE-2017-7494는 몇 가지 조건만 충족 된다면 단 코드 한줄로도 악성 코드를 실행시키는데 악용될 수 있습니다.

공격이 발생하려면 다음과 같은 조건이 충족되어야 합니다.

1) 외부 인터넷에서 접근 가능한 445번 포트를 통해 파일 및 프린터 공유
2) 공유파일에 쓰기권한 허용
3) 이러한 파일들의 경로가 추측 가능한 서버를 사용하는 취약한 컴퓨터

위 조건들이 충족될 경우, 공격자들은 원격에서 취약한 플랫폼에 루트권한으로 자신들이 원하는 모든 악성코드를 업로드 하고 서버가 이를 실행시킬 수 있도록 합니다.

Samba 관리자들은 권고문에 “3.5.0 이후의 모든 Samba 버전들은 원격 코드 실행 결점에 취약해 악성 클라이언트가 공유 라이브러리를 쓰기 가능한 공유에 업로드 후, 서버가 이를 로드 및 실행하도록 한다.”고 밝히면서, 취약한 버전을 사용하는 경우 빠른 시일 내 패치를 하라고 권고했습니다.

WannaCry와 유사해

연구원들은 해당 익스플로잇이 '웜으로 둔갑 가능하다'라고 표현했습니다.  이는 최종 사용자의 어떠한 행동 없이도 취약한 장비에서 다른 취약한 장비로 빠르게 확산이 가능하다는 의미입니다.

Samba는 1991년 Unix에서 파생 된 OS들을 사용하는 서버에서 쉽게 파일을 공유할 수 있는 방안으로 소개 되었습니다. Samba는 Unix 및 Linux 머신들이 Active Directory 및 Windows Server Domain 등을 포함한 다양한 윈도우 네트워킹 기능들과 상호 운용될 수 있는 수단이 되었습니다. 해당 취약점이 추가된 버전은 Samba 3.5.0으로, 2010년 7월에 공개되었습니다.

이 취약점은 WannaCry 랜섬웨어 웜이 악용한 윈도우의 취약점과 유사합니다. 이 취약점 또한 5년 이상 되었으며, 널리 사용 되는 SMB 프로토콜에 존재하며, 최종 사용자의 아무런 상호 작용이 필요없이도 악성 코드 실행이 가능합니다.

윈도우에서 SMB 취약점이 처음 발견된 것은 지난 4월인데, 그당시 많은 보안 전문가들이 이를 악용하기 힘들 것이라 추측했습니다. 적은 수의 컴퓨터들의 파일 및 프린터 공유 기능이 인터넷에 노출되어 있을 것이라고 생각했기 때문입니다.

하지만 WannaCry는 엄청난 속도로 전 세계로 확산되었고, 이러한 가정은 무색해 졌습니다 .보안전문가 Dan Tentler는 477,000대 이상의 Samba를 사용하는 컴퓨터들의 445번 포트가 외부에 노출되어 있으며, 이 중 얼마나 많은 장비들이 취약한 버전을 사용하고 있는지는 분명하지 않다고 전했습니다.

하지만 윈도우의 SMB취약점과 이번에 발견된 Samba 취약점 사이에는 몇 가지 분명한 차이점들이 있습니다.

윈도우에서는 SMB가 기본적으로 활성화 되어있는 반면, 모든 리눅스 배포판 에서는 반드시 사용자가 수동으로 활성화 해야 합니다. 또한 NSA가 개발했고 유출되어 공개된 백도어 “DoublePulsar”와 견줄만한 것이 없다는 사실입니다. DoublePulsar는 WannaCry가 윈도우 취약점을 쉽게 활용할 수 있도록 도왔습니다.

그렇지만 여전히 위험 요소는 존재하며, 인터넷에 노출 되지 않아도 가능한 다른 공격 시나리오들도 존재합니다.

예를 들면, 기업 네트워크 내의 컴퓨터 하나를 성공적으로 해킹한다면 다른 컴퓨터들을 감염시킬 때 이 Samba 취약점을 악용할 수 있습니다. 이 취약점이 쉽게 악용될 수 있다는 점을 감안할 때, 빠른 시간 내에 대량의 기기들을 감염시킬 수 있을 것으로 추측 됩니다. 연구원들은 이 취약점으로 인해 NAS 기기가 있는 홈 네트워크들도 공격에 노출 될 수 있다고 밝혔습니다.

보안전문가 HD Moore는, 보안 전문가들 및 해커들이 사용하는 Metasploit 프레임 네트워크의 경우 이 익스플로잇을 이용하여 24시간 내에 공격이 가능할 것으로 보인다고 밝혔습니다. 그는 Ubuntu를 사용하는 컴퓨터 및 Synology에서 만든 NAS 기기의 Samba에서 성공적으로 이 취약점을 악용한 사례를 블로그에 포스팅 했습니다.

<출처 : https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/>

<출처 : https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/>

Samba 사용자들은 OS나 기기 제조사들에서 패치가 제공되는지 확인을 해보아야 하며, 패치가 불가능할 경우 임시 방편으로 아래 라인을 Samba 설정 파일에 추가한 후 네트워크의 SMB 대몬을 재시작 해야합니다.

nt pipe support = no

이러한 방법을 통하여 클라이언트들이 일부 네트워크 컴퓨터들에 완전히 접속하는 것을 방지하고, 연결 된 윈도우 기기들의 일부 기능들을 비활성화 시켜야합니다.

이 익스플로잇의 악용이 쉽다는 점과 신뢰성을 감안할 때, 이 취약점을 가능한 빨리 패치하는 것을 권고드립니다.

출처 :

https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/
https://access.redhat.com/security/cve/CVE-2017-7494