리눅스 서버의 TCP 취약점, 웹 트래픽 하이재킹 허용해

리눅스 서버의 TCP 취약점, 웹 트래픽 하이재킹 허용해

TCP Flaw in Linux Servers Allows Web Traffic Hijacking

리눅스 커널 내 TCP implementation에 영향을 미치는 심각한 보안 취약점인 CVE-2016-5696이 발견되었습니다. 공격자는 해당 취약점을 악용하여 웹 트래픽을 하이재킹하거나, HTTPS 세션, Tor 연결과 같은 암호화된 통신을 충돌시킬 수 있습니다.

해당 취약점은 리눅스 커널버전 v3.6~4.7에 존재하며, 문제 핵심은 두 개의 호스트 사이에서 TCP 연결 수립을 좌우하는 표준인 RFC 5961의 설계에 존재했습니다.

모든 TCP 연결들은 클래식 SYN ▶ SYN-ACK ▶ ACK인 TCP 3way 핸드쉐이크를 통해 수립됩니다. 안전한 연결이 이루어지면, TCP 패킷은 두 개의 호스트 사이에서 순서대로 보내집니다. 리눅스 프로젝트는 그동안 RFC 5961을 잘 실시해왔습니다.

이번에 발견된  CVE-2016-5696 취약점을 이용하면 공격자가 MITM 공격을 하지 않아도 global challenge ACK counter를 이용하여 특정 TCP connection의 Sequence와 ACK number를 정확하게 추측할 수 있습니다. 

 

공격자는 IP 주소를 스푸핑하여, 해당 연결 중간에서 정식 TCP 패킷 시퀀스에 악성 TCP 패킷을 주입할 수 있습니다.

해당 취약점을 발견한 연구원들은, CVE-2016-5696 취약점을 이용하여 USA Today 웹사이트에 피싱 폼을 주입한 케이스를 연구했습니다. 그들은 유명인의 IP가 USA today(리눅스) 웹 서버의 IP와 통신하는지 알아내기 위해 그들이 개발한 익스플로잇을 사용했습니다. 연구원들은 “추가 실험들을 통해, 이 공격이 빠르고 안정적이라는 사실을 알아냈다. 평균적으로 공격을 끝내는데는 40~60초가 소요되었고, 성공율은 88%에서 97%였다.”고 밝혔습니다.

이와 같은 사례는 왜 HTTPS를 지원하는 것이 중요한지 다시 한번 상기시켜 줍니다. CVE-2016-5696은 SSH, Tor와 같은 암호화된 서비스들에 DoS를 야기시키는데 사용될 수도 있습니다.

연구원들은 해당 취약점을 이용한 공격의 성공률을 낮추기 위해 TCP의 global rate 제한을 일부 변경할 것을 제안하며, 다른 OS도 영향을 받을 수 있을 것이라고 경고했습니다.

해당 취약점은 Linux kernel 4.7버전에서 해결될 예정입니다.

출처 :

http://news.softpedia.com/news/tcp-flaw-in-linux-servers-allows-web-traffic-hijacking-507182.shtml

http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf