연구원들, 최근 Java 암호화 취약점에 대한 PoC 공개해

Researcher Releases PoC for Recent Java Cryptographic Vulnerability

 

Java에서 새로이 발견된 디지털 서명 우회 취약점을 입증하는 PoC(개념 증명) 코드가 온라인에 공유되었습니다.

 

심각도가 높은 취약점인 CVE-2022-21449(CVSS 점수: 7.5)는 아래 버전의 Java SE 및 Oracle GraalVM Enterprise Edition에 영향을 미칩니다.

 

- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18

- Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

 

이 문제는 내용의 신뢰성과 무결성을 확인하기 위해 메시지와 데이터에 디지털 서명하는 암호화 메커니즘인 타원 곡선 전자 서명 알고리즘(ECDSA)의 Java 구현에 존재합니다.

 

즉, Java의 ‘Psychic Signatures’라 불리는 암호학적 실수로 인해 취약한 구현에서 완전히 비어있는 서명이 유효한 것으로 인식되는 것이 가능하게 됩니다.

 

 

<이미지 출처: https://thehackernews.com/2022/04/researcher-releases-poc-for-recent-java.html>

 

 

이 취약점을 성공적으로 악용할 경우 공격자가 서명을 위조하고 인증 수단을 우회할 수 있습니다.

 

보안 연구원인 Khaled Nassar가 공개한 PoC는 취약한 클라이언트와 악성 TLS 서버를 포함하며, 전자는 서버에서 잘못된 서명을 수락하고 효과적으로 TLS 핸드셰이크가 방해받지 않고 계속되도록 합니다.

 

ForgeRock 연구원 Neil Madden은 2021년 11월 11일 이 취약점을 발견하고 제보했으며, 아래와 같이 밝혔습니다.

 

"이 버그의 심각성을 과장하기는 어렵습니다.”

 

"이러한 보안 메커니즘에 ECDSA 서명을 사용하고 서버에서 Java 15 또는 16, 17, 18 버전을 실행 중일 경우 공격자는 이를 손쉽게 완전히 우회할 수 있습니다."

 

이 문제는 이후 Oracle에서 2022년 4월 19일에 발표한 2022년 4월 분기별 CPU(Critical Patch Update)에서 해결되었습니다.

 

PoC가 공개되었기 때문에, 조직 환경에서 Java 15 또는 Java 16, Java 17, Java 18을 사용할 경우 악용을 예방하기 위해 패치를 우선적으로 진행하는 것이 좋습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/researcher-releases-poc-for-recent-java.html

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/