상세 컨텐츠

본문 제목

우분투 충돌 보고 툴(Crash Report Tool), 원격 코드 실행 허용해

국내외 보안동향

by 알약(Alyac) 2016. 12. 20. 15:18

본문

우분투 충돌 보고 툴(Crash Report Tool), 원격 코드 실행 허용해

Ubuntu’s Crash Report Tool Allows Remote Code Execution

 

이미지 출처 : http://thehackernews.com/2016/12/ubuntu-hack.html


보안 연구원이 Ubuntu 리눅스 OS에서 공격자가 악성 파일을 사용해 타겟 컴퓨터를 원격으로 해킹할 수 있도록 허용하는 심각한 취약점을 발견했습니다.


이 취약점은 디폴트로 설치된 Ubuntu 리눅스 12.10(Quantal) 및 이후 버전에 영향을 미치는 것으로 밝혀졌습니다. 보안 연구원 Doonncha O’Cearbhaill는 Ubuntu의 Apport 충돌 보고 툴(Crash Report Tool)에 존재하는 보안 결점을 발견해냈습니다.


이 CrashDB 코드 인젝션 이슈를 성공적으로 악용할 경우, 공격자는 피해자의 기기에서 원격으로 임의의 코드를 실행할 수 있게 됩니다. 공격자는 Ubuntu 사용자들이 악성 crash 파일을 오픈하도록 유도할 것이며, 이에 성공하면 쉽게 공격을 진행할 수 있습니다. 악성 crash 파일이 Ubuntu OS의 cash 파일 처리기 내에 파싱되면, 공격자가 임의의 Python 코드를 실행하는 악성코드를 인젝션할 것입니다.


O’Cearbhaill은 “이 코드는 CrashDB 필드가 Python dictionary의 시작을 나타내는 {로 시작하는지 확인한다.”며, “{가 발견되면 Apport는 Python에 내장된 eval() 메쏘드를 CrashDB 필드값과 함께 호출할 것이다. Eval()은 전달받은 데이터를 간단하고 신뢰할만한 Python 코드 실행으로 이어지는 Python expression으로써 실행한다.”고 말했습니다.


이 취약한 코드는 2012년 8월 22일, Apport revision 2464에서 시작되었으며, 2.6.1 릴리즈에 포함되었습니다. O’Cearbhaill은 그의 PoC 소스코드 복사본을 GitHub에 공개했습니다.



CrashDB 코드 인젝션 공격 시연 영상


연구원은 악성 파일로부터 해당 결점을 사용해 타겟 Ubuntu 박스 시스템의 제어권을 얻는 것이 가능하다는 사실을 보여주는 시연 영상을 공개했습니다.


※ 시연 영상 자세히 보기


OCearbhaill은 단순한 Apport 충돌 보고 파일로 Gnome 계산기를 실행했습니다. 이 코드는 .crash 확장자 또는 Ubuntu에 등록되지 않은 다른 확장자로 저장될 것이라고 설명했습니다.


그는 충돌 보고 앱 버그(CVE-2016-9949로 등록되었으며, 경로조작 버그인 CVE-2016-9950과 관련되어 있음)를 Ubuntu 팀에 보고했습니다. 이후 지난 12월 14일, 해당 버그는 패치완료 되었으며, O’Cearbhaill은 바운티 상금 $10,000을 수령했습니다.


Ubuntu 리눅스 데스크탑 사용자들과 관리자들은 시스템을 최대한 빨리 패치할 것을 권고하고 있습니다.







출처 :

http://thehackernews.com/2016/12/ubuntu-hack.html

https://donncha.is/2016/12/compromising-ubuntu-desktop/

https://github.com/DonnchaC/ubuntu-apport-exploitation

https://bugs.launchpad.net/apport/+bug/1648806



관련글 더보기

댓글 영역