상세 컨텐츠

본문 제목

Squoison(CVE-2016-4553) 공격 주의!

국내외 보안동향

by 알약(Alyac) 2016. 8. 24. 16:19

본문

Squoison(CVE-2016-4553) 공격 주의!


유명한 오픈소스 프로그램 Squid에서 임의의 HTTP 홈페이지 캐시포이즈닝을 일으킬 수 있는 취약점 Squoison(CVE-2016-4553)이 발견되었습니다.


* Squoison : Squid와 Poision의 합성어


Squid는 유명한 웹 프록시/캐시 오픈소스 프로그램으로, 많은 업체들이 Squid를 기반으로 web캐시, 프록시 혹은 보안 제품들을 개발했습니다. 또한 이렇게 개발된 제품들은 ISP, 회사, 학교 등 효율적인 인터넷 사용을 위하여 널리 사용되고 있습니다.


공격자는 공공 네트워크에 캐시포이즈닝을 통하여 페이지를 임의로 수정하거나, 악성코드를 심는 등 악성 행위를 할 수 있습니다. 이런 공격은 네트워크 중간에서 이루어 지기 때문에, 클라이언트와 서버 모두에서 공격을 인지하기가 매우 어렵습니다. 


이번 취약점은 Squid가 HTTP request 중 Host Header을 잘못 처리하여, Squid 캐시서버를 사용하는 캐시들 사이의 보호막을 bypass하게 됩니다. 공격자는 악의적인 request 발송만으로 캐시포이즈닝을 성공시킬 수 있습니다. Squid 그룹은 해당 취약점을 가장 위험한 Blocker취약점으로 분류하였습니다. 


공격자는 Squid캐시가 설치되어 있는 네트워크 중에 다음과 같은 HTTP request를 보내면 캐시 포이즈닝을 할 수 있습니다. 


GET http://victim.com/ HTTP/1.1

Host: attack.com


Squoison 취약점은 Squid 프록시 서버에서 Transparent Proxy로 설정할 때 존재하는 캐시 포이즈닝 취약점입니다. HTTP request line의 URI에 대한 호스트 헤더의 부적절한 검사로 인해 발생합니다. 공격자는 프록시 서버를 통하여 조작된 요청을 보내어 취약점을 악용합니다. 



공격자는 flash광고를 삽입하는 방식으로 원격에서 대규모의 공격을 시도할 수 있습니다. Squid SW는 ISP에서 ransparent cache로 많이 사용되고 있기 때문에, 이번 취약점은 매우 큰 파장을 가져올 것으로 예상됩니다. 


이 취약점을 이용하면 Apache Traffic Server 캐시, CDN 캐시 포이즈닝, Firewall 우회, WAF우회 등 다양한 공격을 할 수 있습니다. 



취약한 버전


Squid 2.x

Squid 3.x (3.2.0.10제외)

Squid 3.2.0.11 이상 모든 버전 (3.5.17 포함)

Squid 4.x (4.0.9 포함)



패치버전


Squid 3.5.18 / 4.0.10



패치방법


squid.conf 파일에 문구 추가

client_dst_passthru off


"host_verify_strict" 삭제




참고 :

http://www.squid-cache.org/Advisories/SQUID-2016_7.txt 

https://hostoftroubles.com  

https://hostoftroubles.com/online-checker.html   

http://www.icir.org/vern/papers/host-of-troubles.ccs16.pdf

관련글 더보기

댓글 영역