리눅스 배포판 대부분에 PPP 대몬의 치명적인 원격 코드 실행 취약점(CVE-2020-8597) 존재해

Most of Linux distros affected by a critical RCE in PPP Daemon flaw

PPP 대몬 소프트웨어에 존재하는 17년된 치명적인 원격 코드 실행 취약점이 대부분의 리눅스 배포판을 해킹 위험에 노출시키고 있었던 것으로 나타났습니다.

US-CERT는 거의 모든 리눅스 기반 OS에 탑재된 PPP 대몬(pppd) 소프트웨어에 존재하는 원격 코드 실행(RCE) 취약점(CVE-2020-8597)에 대해 경고하는 보안 권고를 발행했습니다.

pppd 소프트웨어는 전화 접속 모뎀, DSL 연결, 기타 포인트-투-포인트 연결을 통한 인터넷 링크를 만드는데 사용되는 Point-to-Point 프로토콜(PPP) 구현입니다.

CVE-2020-8597로 등록된 이 취약점은 스택 버퍼 오버플로우 문제로 pppd 소프트웨어의 EAP(Extensible Authentication Protocol) 패킷 파서의 논리적 에러로 인해 발생합니다.

원격 공격자가 이 취약점을 악용할 경우 취약한 시스템에서 임의 코드를 실행해 시스템을 완전히 제어할 수 있게 됩니다.

이 취약점은 취약한 ppp 클라이언트나 서버에 악성 EAP 패킷을 보내는 방식으로 악용이 가능합니다.

CVE-2020-8597 원격 코드 실행 이슈는 CVSS 점수 9.8을 기록했으며 PPP 대몬 버전 2.4.2 ~ 2.4.8에 존재합니다.

“이 취약점은 제공된 데이터를 메모리에 복사하기 전 입력의 크기를 확인하는 과정에서 발생하는 에러에 기인합니다. 데이터 사이즈 확인이 정확하게 이루어지지 않아 임의 데이터를 메모리에 복사하여 메모리 충돌을 일으켜 임의 코드를 실행하는 결과를 낳을 수 있습니다.”

“이 취약점은 eap 파싱 코드의 로직에 존재합니다. 정확히는 네트워크 입력 핸들러가 호출하는 eap.c 내 eap_request()와 eap_response() 함수에 존재합니다.”

전문가는 종종 pppd가 높은 권한(system 또는 root)으로 실행되며 커널 드라이버와 함께 동작한다는 점을 지적했습니다. 이로써 이 문제를 악용이 가능한 공격자는 높은 권한으로 임의 코드를 실행할 수 있게 됩니다.

“EAP를 사용하지 않거나 원격 피어가 암호를 통해 협상되지 않았을 경우 pppd가 취약하지 않다고 단정짓는 것은 잘못된 생각입니다. 인증된 공격자가 버퍼 오버플로우를 촉발시키기 위해 EAP 패킷을 보낼 수 있기 때문입니다.”

이 취약점은 인기있는 리눅스 배포판에 영향을 미칩니다. 아래는 관련 권고입니다.

Debian

Ubuntu

SUSE Linux

Fedora

NetBSD

Red Hat Enterprise Linux

출처 : 

https://securityaffairs.co/wordpress/99043/hacking/linux-rce-ppp-daemon-flaw.html

https://www.kb.cert.org/vuls/id/782301/

https://nvd.nist.gov/vuln/detail/CVE-2020-8597#vulnCurrentDescriptionTitle