상세 컨텐츠

본문 제목

인기있는 부트로더의 취약점, 잠긴 리눅스 컴퓨터 열 수 있도록 허용

국내외 보안동향

by 알약(Alyac) 2015. 12. 17. 17:29

본문

인기있는 부트로더의 취약점, 잠긴 리눅스 컴퓨터 열 수 있도록 허용

Vulnerability in popular bootloader puts locked-down Linux computers at risk


공격자가 암호로 보호 된 부트 엔트리를 수정하고 멀웨어 설치 가능하도록 허용하는 취약점이 발견되었습니다. 

이 취약점을 이용하면 공격자는 백스페이스 키를 28번 누르는 것 만으로 Grub2 부트로더의 패스워드 보호 장치를 우회하고, 공격자가 잠긴 리눅스 시스템에 멀웨어를 설치할 수 있습니다. 


GRUB (Grand Unified Bootloader)는 대부분의 리눅스에서 컴퓨터가 시작 될 때 OS를 초기화하는데 사용 되며, 부트 엔트리의 접근을 제한하는 패스워드를 설정하는 기능이 있습니다. 이 보호장치는 CD-ROM, USB, 네트워크 부트 옵션 등을 비활성화 하고, 장비에 물리적으로 접근한 공격자로부터 컴퓨터를 보호하기 위해 BIOS/UEFI 펌웨어에 패스워드를 설정할 수 있기 때문에, 특히 조직에서 유용하게 사용할 수 있습니다.


하지만 이러한 부트 옵션이 안전하게 보호 되지 않을 경우, 공격자나 악의를 품은 직원이 단순히 대체 OS를 통해(리눅스 설치가 된 USB나 CD/DVD 등을 이용) 부팅하여 컴퓨터의 하드 드라이브의 파일에 접근할 수 있게 되는 것입니다. 물론 공격자가 드라이브를 물리적으로 제거하고 다른 기기에 장착함으로써 파일에 접근이 가능하겠지만, 이를 방지할 수 있는 다른 물리적 제어 장치들도 있을 수 있습니다.


Universitat Politècnica de València의 사이버보안 그룹의 연구원 두 명이 부트로더가 계정 입력을 요구 시 백스페이스를 28번 누름으로써 integer underflow 취약점을 야기시킬 수 있는 점을 발견하였습니다.


특정 조건에서, 이는 기기의 재부팅이나 GRUB의 rescue 모드를 야기시켜, 강력한 shell로의 승인되지 않은 접근을 허용할 수 있습니다. 이 shell 커맨드를 사용함으로써, 공격자는 인증 확인 과정을 완벽히 우회하기 위해 RAM에 로드 된 GRUB2 코드를 바꾸어 쓸 수 있습니다. 이후 인증 확인 과정이 더이상 동작하지 않기 때문에, 공격자는 GRUB의 일반 모드로 돌아와 부트 엔트리를 수정할 수 있는 전체 접근 권한을 얻을 수 있게 됩니다.


이때부터 디스크 내의 모든 데이터를 파괴하는 등의 다양한 공격 시나리오들이 실행 가능한 상태가 됩니다.


이 연구원들은 일반 사용자가 로그인 후 암호화 된 home 폴더의 잠금을 해제하면, 데이터를 훔치는 멀웨어를 설치하는 방식으로 테스트를 해보았습니다. 이러한 방식의 공격을 위해, 연구원들은 원래의 부트 엔트리를 리눅스 커널을 로드하고 루트 쉘을 초기화 하도록 수정하였습니다. 또한 취약점을 이용하여 모질라 파이어폭스 라이브러리를 유저가 브라우저를 실행할 때 마다 원격 서버로의 reverse shell을 오픈하도록 설계 된 악성 코드로 바꾸었습니다.


연구원들은 포스팅에서 “유저가 파이어폭스를 실행하면, reverse shell이 작동 될 것이며, 이 시점에서는 모든 유저의 데이터가 복호화 되어 있기 때문에, 우리가 어떤 유저의 정보든 모두 훔칠 수 있게 되는 것이다”고 말했습니다. 또한 연구원들은 더욱 강력한 멀웨어를 설치하도록 커널을 수정하는 것 역시 가능하다고도 밝혔습니다.


현재 이 취약점은 CVE-2015-8370으로 등록 되었으며, GRUB2의 2009년 12월 공개 된 1.98부터 최신버전인 2.02를 포함한 모든 버전에 영향을 미칩니다.  


Ubuntu, Red Hat, Debian 이 이 취약점에 대한 패치를 발표했습니다. 사용자들은 GRUB2 패키지의 업데이트를 가능한 빨리 업데이트 하시기 바랍니다. 


▶ Ubuntu 업데이트 하러가기 

Red Hat 업데이트 하러가기

Debian 업데이트 하러가기





참고 : 

http://www.csoonline.com/article/3016100/security/vulnerability-in-popular-bootloader-puts-locked-down-linux-computers-at-risk.html

http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html


관련글 더보기

댓글 영역