TOR 제로데이 2개 공개돼, 추가로 더 공개될 예정

Two Tor zero-days disclosed, more to come

보안 연구원들이 지난주 Tor 네트워크와 Tor 브라우저에 영향을 미치는 취약점 2개에 대한 기술적 세부 정보를 공개했습니다.

Neal Krawetz 박사는 블로그를 통해 Tor Project의 제로데이 2개에 대한 세부사항을 공개할 것이라 밝혔습니다. 

그는 지난 몇 년 동안 보안 취약점 다수를 지속적으로 제보했음에도 Tor Project에서 패치하지 않았다고 밝혔습니다.

연구원은 Tor 서버의 실제 IP 주소를 알아내는 것을 포함한 Tor 제로데이 3개를 추가로 더 공개할 것이라 밝혔습니다.

첫 번째 TOR 제로데이 취약점

Tor 노드 다수를 직접 운영하는 Krawetz 박사는 오랫동안 Tor 취약점을 찾아 제보해왔으며, 지난주 최초의 Tor 제로데이 취약점을 공개했습니다.

해당 연구원은 7월 23일 업로드된 블로그 게시물을 통해 기업 및 인터넷 서비스 제공 업체에서 Tor 트래픽 고유의 “개별 패킷 서명”을 찾기 위한 네트워크 연결 스캐닝을 통해 사용자가 Tor 네트워크에 접근하는 것을 차단하는 방식에 대해 설명했습니다.

이 패킷은 Tor 연결이 시작되는 것을 차단하고 Tor을 효과적으로 금지하기 위해 사용될 수 있습니다.

두 번째 TOR 제로데이 취약점

Krawetz 박사는 금일 두 번째 취약점을 공개했습니다. 

이 취약점 또한 첫 번째 취약점과 마찬가지로 네트워크 운영자가 Tor 트래픽을 탐지하는데 사용될 수 있습니다.

첫 번째 제로데이 취약점은 Tor 네트워크로의(Tor guard 노드로의) 직접적인 연결을 탐지할 수 있었다면 두 번째 취약점은 간접적인 연결을 탐지하는데 사용될 수 있습니다.

이 연결은 Tor 네트워크로 향하는 엔트리 포인트의 특수 유형인 Tor 브리지를 만드는데 사용될 수 있습니다. 

이는 회사와 ISP가 Tor 네트워크의 직접적인 연결을 차단하는데 사용될 수 있습니다.

Tor 브리지는 사용자의 연결을 Tor 브라우저로 릴레이 해주는 프록시 포인트의 역할을 합니다. 

이는 민감한 Tor 서버이기 때문에, ISP 차단을 어렵도록 하기 위해 Tor 브리지 목록을 지속적으로 업데이트 해 주어야 합니다.

하지만 Krawetz 박사는 특정 TCP을 추적하는 유사한 기술을 통해 Tor 브리지를 쉽게 탐지해낼 수 있다고 설명했습니다.

“제가 발행한 이전 블로그 게시물과 이 게시물을 통해 여러분은 실시간 상태 기반 패킷 검사 시스템을 통해 네트워크에서 Tor을 차단하는 정책을 시행하는데 필요한 모든 정보를 얻으실 수 있습니다. 여러분의 모든 사용자가 직접 연결하든 브리지를 사용하든 간에 Tor 네트워크에 접속하는 것을 막을 수 있습니다.”

이 두 가지 이슈는 억압적인 체제로 운영되는 국가에 거주하는 Tor 사용자에게 특히 문제가 될 수 있습니다.

Krawetz 박사, TOR 프로젝트의 보안적 태도에 불만이라 밝혀

Krawetz 박사가 이러한 제로데이를 공개하는 이유는 Tor 프로젝트가 네트워크, 툴, 사용자에 대한 보안을 심각하게 생각하지 않는다고 판단했기 때문이라고 밝혔습니다.

이 연구원은 과거에 Tor 프로젝트에 취약점을 제보했지만, 패치를 준비하고 있다는 답변만 들었으며 해당 패치는 실제로 배포되지 않았다고 밝혔습니다. 그가 제보한 취약점은 아래와 같습니다.

웹사이트에서 스크롤바의 너비를 통해 Tor 브라우저 사용자를 탐지하고 지문을 채취할 수 있는 취약점 - Tor 프로젝트는 이 이슈를 최소 2017년 6월부터 인지하고 있었습니다.

네트워크 공격자가 OR(Onion routing) 포트를 통해 Tor 브리지 서버를 탐지할 수 있는 취약점 – 이 취약점은 8년 전 제보되었습니다.

공격자가 Tor 서버에서 사용하는 SSL 라이브러리를 식별해낼 수 있는 취약점 – 2017년 12월 27일 제보되었습니다.

위의 모든 이슈는 아직까지 수정되지 않은 상태입니다. 이에 Krawetz 박사는 2020년 6월 Tor 프로젝트와의 협업을 포기하고 문제를 공개해 회사가 조치를 취하도록 압박하는 방식을 택하게 되었다고 설명했습니다.

출처:

https://www.zdnet.com/article/two-tor-zero-days-disclosed-more-to-come/

https://www.hackerfactor.com/blog/index.php?/archives/888-Tor-0day-Stopping-Tor-Connections.html

https://www.hackerfactor.com/blog/index.php?/archives/889-Tor-0day-Burning-Bridges.html