2016년 10대 취약점 정리

2016년 10대 취약점 정리

2016년 지난 한 해 동안 총 6,400개가 넘는 CVE 취약점이 발견되었습니다. 그 중 가장 위험성이 높은 10개의 취약점을 선정해 소개 드리고자 합니다.

1. Dirty Cow 취약점(CVE-2016-5195)

Dirty Cow는 Phil Oester가 처음 발견한 커널 취약점입니다. 해당 취약점을 이용하면 권한이 없는 사용자가 root권한을 획득할 수 있습니다. 

공격자가 해당 취약점을 성공적으로 악용할 경우, 시스템의 모든 권한을 장악할 수 있습니다. 이 때, COW는 리눅스가 메모리 오브젝트의 중복을 감소시키는 기술로, race condition을 통하여 낮은 권한의 사용자가 읽기권한만 갖고 있는 사용자의 권한을 수정할 수 있습니다. 해당 취약점은 리눅스 커널 업데이트를 통해 패치할 수 있습니다. 

※ 관련 취약점 자세히 보기 : http://blog.alyac.co.kr/853

2. PHPMailer RCE 취약점(CVE-2016-10033, CVE-2016-10045)

PHPMailer는 PHP에서 가장 광범위하게 사용되는 이메일 발송 라이브러리 중 하나입니다. 해당 취약점은 Dawid Golunski가 발견한 것으로, 공격자는 해당 취약점을 이용하여 원격으로 웹서버에서 shell명령을 실행시킬 수 있습니다. 일반적으로 이메일 주소 앞의 “From:” 부분에는 사용자가 임의의 설정값을 입력할 수 있지만 “sender” 속성은 없습니다. 따라서 사용자가 “From:”부분에 shell 명령을 입력하면 RCE가 가능해지므로, 관련 취약점이 발생할 수 있습니다.

해당 취약점은 PHPMailer 5.2.18 하위 버전에 존재합니다. 따라서 관련 취약점이 존재하는 버전을 사용하는 사용자의 경우, 최신 버전으로 업데이트해주시기 바랍니다.

3. ImageTragick 취약점(CVE-2016-3714)

ImageTragick 취약점은 2016년에 발견된 취약점 중 가장 영향력있는 것으로 평가받고 있습니다. 이는 Nikolay Ermishki가 발견한 것으로, 해당 취약점을 이용하면 ImageMagick이 https형식의 문서를 처리하는 과정에서 임의의 명령을 실행할 수 있습니다. 

ImageMagick에는 다양한 이미지를 다루는 라이브러리를 포함하고 있습니다. ImageMagick은 이러한 이미지 처리 라이브러리들에 대해 “Delegate”라고 명명해 놓았으며, 매 Delegate는 각각의 형식과 매칭됩니다. 이후 시스템의 system()명령을 통해 외부 프로세스와 매칭되어 파일을 처리합니다. 이 과정 중 확장자 필터링이 안전하게 구현되어 있지 않아, 명령 실행 취약점이 발생한 것입니다. 해당 취약점은 이미 많은 조직들이 이용한 것으로 확인되었습니다. 

※ 관련 취약점 자세히 보기 : http://blog.alyac.co.kr/632

4. DROWN 취약점(CVE-2016-0800)

DROWN(RSA복호화 중 사용되는 취약한 구식 eNcryption)이 SSLv2 중의 취약점을 이용하여, 공격자가 TLS나 SSL을 이용한 통신을 복호화할 수 있는 것으로 밝혀졌습니다. 해당 취약점은 교차 프로토콜 종류에 포함됩니다. 

만약 특정 서버가 SSLv2를 활성화 시켰을 경우, DROWN 공격에 당할 수 있어 주의가 필요합니다. 현재까지 전 세계적으로 약 1,100만개의 홈페이지 혹은 서버가 해당 취약점에 영향을 받는 것으로 나타났습니다. 

※ 관련 취약점 자세히 보기 : http://blog.alyac.co.kr/554

5. Apple OS X와 iOS 원격코드실행 취약점(CVE-2016-4631)

해당 취약점은 Tyler Bohan이 발견한 취약점으로, iOS의 ImageIO 프레임워크 중에 존재합니다. ImageIO 프레임워크는 일종의 응용프로그램 편집 API로, 거의 모든 애플 OS(Mac OS X, watchOS, tvOS 등)에서 각종 이미지를 처리하는데 사용됩니다. 이를 통해 TIFF 이미지를 이용하여 버퍼오버플로우를 발생시킬 수 있으며, 원격코드실행이 가능하게 됩니다. 

※ 관련 취약점 자세히 보기 : http://blog.alyac.co.kr/723

6. Chrome OS 영구 코드실행 취약점(CVE_2016-5180)

해당 취약점은 익명의 보안 연구원이 제보했습니다. 해당 취약점은 링크를 이용하는 것으로, 클라이언트 모드에서 권한상승으로 재부팅할 수 있습니다. 또한 웹페이지를 통해 코드실행권한을 획득할 수 있습니다. 다행히 이 취약점은 제보된 이후, 구글의 53.0.2785.143m의 버전을 기반으로 하는 Chrome 업데이트에서 패치되었습니다.

7. MS16-032 취약점

해당 취약점은 James Forshaw가 발견했습니다. 이 취약점을 이용하면 일반 사용자가 보조 로그온 서비스의 취약점을 이용하여 권한상승이 가능합니다. 해당 취약점은 Windows7버전부터, Windows10까지, Windows Server 2008부터 2012까지 모두 존재합니다.

8. FireFox SVG Animation 원격코드실행 취약점(CVE-2016-9079)

해당 취약점은 SVG Animation 모듈 중 존재하는 UAF(Use After Free) 취약점입니다. 사용자가 Firefox 브라우저에서 악성 Javascript와 SVG코드가 포함된 악성 페이지에 접속하면, 공격자는 해당 취약점을 통해 사용자 PC에 원격코드실행을 가할 수 있습니다. 공격자는 Windows 사용자의 Firefox와 Tor브라우저를 타겟으로 APT공격을 시도할 수 있습니다. 또한 이를 통해 일부 익명의 사용자의 진짜 IP를 알아낼 수 있습니다. 

관련 취약점을 분석한 결과, 일부 첩보기관에서 이를 이용하여 정보를 수집한 것으로 확인되었습니다. 이 취약점은 Windows, Mac OS 및 Linux에 존재하고 있는 것으로 밝혀졌습니다. 특히, FireFox 브라우저 사용자는 최신버전으로 업데이트할 것을 당부 드립니다.

9. Adobe Flash 원격코드실행 취약점(CVE-2016-7892)

Adobe Flash Player 23.0.0.207 및 그 이전 버전, 11.2.202.644 및 그 이전 버전의 Use After Free 취약점으로 TextField 클래스에서 발생합니다. 해당 취약점을 이용하면 임의의 코드 실행이 가능합니다. 이는 주로 Windows 32bit에서 동작하는 Internet Explore 사용자를 타겟으로 합니다. 

10. 시만텍/노턴 안티바이러스 엔진에서 원격 Heap/Pool 메모리 손상 취약점(CVE-2016-2208)

구글의 Project Zero 그룹은 시만텍/노턴의 안티바이러스 엔진에서 Heap/Pool 메모리 손상 취약점을 발견하였습니다. 공격자는 해당 취약점을 악용하여 원격에서 악성코드실행이 가능하며, 목표 시스템을 장악할 수 있습니다. 또한 시만텍 안티바이러스 엔진을 사용하는 사용자에게 이메일이나 링크를 전달하여 해당 취약점을 악용할 수 있으며, 메모리 손상을 유발시켜 블루스크린을 일으킬 수 있습니다. 

Linux, Mac 및 Unix OS에서는 공격자가 원격에서 해당 취약점을 루트 권한으로 이용하여 시만텍 혹은 노턴의 프로세스 중 힙 오버플로우를 발생시킬 수 있습니다. 현재 해당 취약점은 패치되었습니다. 

출처 : 

http://resources.infosecinstitute.com/10-security-vulnerabilities-that-broke-the-world-wide-web-in-2016/