포스팅 내용

국내외 보안동향

Linux APT에서 원격 공격자들이 시스템을 해킹할 수 있는 치명적인 RCE 결점 발견 돼

Critical RCE Flaw in Linux APT Allows Remote Attackers to Hack Systems


보안 연구원들이 Linux APT의 치명적인 원격 코드 실행 취약점에 대한 세부사항을 발표했습니다. 이는 소프트웨어 다운로드 매니저가 통신 시 엄격하게 HTTPS를 사용했을 경우 완화될 수 있었습니다.


Max Justicz가 발견한 이 취약점 (CVE-2019-3462)은 데비안, 우분투 및 기타 리눅스 배포판에서 소프트웨어 설치, 업데이트, 제거를 처리하는 널리 사용되는 유틸리티인 APT 패키지 매니저에 존재합니다.


Justicz에 따르면, 취약한 APT 버전들은 HTTP 리디렉트 시 특정 파라미터를 적절히 검사하지 않아 원격 MitM 공격자가 악성 컨텐츠를 인젝션하고 시스템이 변경 된 패키지를 다운로드 하도록 속일 수 있습니다.


apt-get 명령어를 사용한 HTTP 리디렉트는 리눅스 장비가 다른 서버들을 사용할 수 없을 경우 적절한 미러 서버에서 자동으로 패키지를 요청하도록 돕습니다. 첫 번째 서버가 실패할 경우, 이는 클라이언트가 패키지를 요청해야하는 다음 서버의 위치와 함께 응답을 리턴합니다.


“안타깝게도, HTTP fetcher 프로세스는 HTTP Location 헤더를 디코드해 이를 확인 없이 103 리디렉트 응답에 추가합니다.”


연구원의 비디오 영상에서 볼 수 있듯, 공격자는 APT 유틸리티와 미러 서버(또는 악성 미러)간의 HTTP 트래픽에 인터셉트해 결국에는 타겟 시스템에서 가장 높은 수준의 권한으로 임의 코드를 실할 수 있습니다.


Justicz는 사용자가 패키지를 처음으로 설치하고 있거나, 구 버전을 업데이트 하던 중이라도 이 취약점이 모든 패키지 다운로드에 영향을 미칠 것으로 추측하고 있습니다.


소프트웨어 개발자들이 미러 서버를 제어할 수 없기 때문에, 소프트웨어 키지의 무결성을 지키기 위해 서명 기반 인증을 사용하는 것은 당연히 중요합니다. 동시에, HTTPS를 구현하면 이러한 취약점이 발견 되더라도 활발히 악용되는 것을 막을 수 있습니다.


어떤 소프트웨어나 플랫폼, 서버도 100% 안전할 수 없기 때문에, 가능한 모든 보안 장치들을 갖추고 있는 것이 좋습니다.


“데비안과 우분투 모두 디폴트로 순수 http 저장소를 사용합니다. (데비안은 설치 시 어떤 미러를 사용할 것인지 선택 할 수 있도록 했지만, https 저장소에 대한 지원은 실제로 제공 되지 않습니다. 사용자는 apt-transport-https를 먼저 설치해야 합니다.)”


“http는 잘 지원 되고 있습니다. 하지만 https 저장소를 기본 값으로 설정하고, 사용자들이 필요할 경우 보안 수준을 다운그레이드 할 수 있도록 하는 것이 좋다고 생각합니다.”


APT의 개발자들은 이 문제를 해결한 버전 1.4.9를 공개했습니다.


APT는 데비안과 우분투를 포함한 많은 리눅스 배포판에 사용 되고 있습니다. 따라서 리눅스 사용자들은 가능한 빨리 시스템을 패치하기를 권장합니다.




출처 :

https://thehackernews.com/2019/01/linux-apt-http-hacking.html

https://justi.cz/security/2019/01/22/apt-rce.html



티스토리 방명록 작성
name password homepage