Linux 등에서 사용되는 오픈 소스 프로그램 "Bourne Again shell (bash) '에 취약점" Shellshock "이 확인 된 바로 직후, 트렌드 마이크로는이 취약점을 이용한 공격을 여러 확인했습니다. 그것은 " 분산 서비스 거부 (DDoS) 공격 '을 할 악성 프로그램을 Linux 시스템에 침입하는 것이 었습니다. 그러나이 취약점의 심각성을 감안할 때, 더 크고 더 심각한 피해를 가져올 공격을 확인하게되는 것은 거의 틀림 없다고 생각합니다. 도대체 어떤 시나리오가 상정되는 것입니까?
■ 시나리오 1 : 서버
"Shellshock"을 이용한 공격을받을 위험이 가장 높은 것은 Web 서버입니다. 현재 CGI 스크립팅 취약점을 이용한 공격에 가장 많이 이용되기 쉬운 것으로 알려져 있습니다. 지금까지의 기사에서 언급했듯이, 당사는이 기술을 이용한 공격이 실제로 행해지고있는 것을 확인했습니다. CGI 스크립트를 이용한 공격 추후 확인되는 것으로 추측됩니다.
Web 서버가 공격당한 경우 기업에 미치는 피해는 상당이 될 것입니다. 또한 침해 된 서버는 공격자가 조직의 네트워크에 침입하기위한 "초기 잠입」라고도합니다. 공격자는 감염된 서버에서 어떤 명령도 수행 할 수 있습니다. "Shellshock"고 권한 상승 취약점과 함께 감염된 서버를 완전히 지배하에 두는 것입니다.
그러나 Web 서버 만이 위험에 노출되는 응용 프로그램이 없습니다. SSH 역시 "Shellshock"취약점 공격에 이용 될 가능성이 있습니다. 따라서 현재 bash를 사용하는 모든 Unix 계 OS 및 Linux 서버가 위험에 노출되어 있다고 말할 수 있습니다. 인터넷에서 액세스 할 수있는 공개 서버는 우선하여 처리를 수행해야합니다. 또한 로컬 네트워크의 서버도 침입 한 위협의 공격 기반 확대에 이용 될 가능성이 있으므로 취약점을 방치 할 수 없습니다. Linux 서버의 대부분은 초기 설정으로 bash를 사용하고 있습니다 만, 예외도 있습니다. 예를 들어, Unix 계열의 오픈 소스 "FreeBSD"의 기본 쉘은 "tcsh"입니다. 이러한 bash를 대체하는 쉘은이 취약점의 영향을받지 않습니다.
■ 시나리오 2 : 엔드 포인트
최종 사용자에게 "Shellshock」에 의한 직접적인 피해는 낮을지도 모릅니다. Windows OS에는 "Shellshock"피해의 위험은 없습니다. 따라서 Windows 사용자도 직접이 문제의 영향을받지 않을 것입니다.
2014 년 9 월 시점의 정보는 PC를 사용하는 사용자의 약 10 %가 Linux, Mac OS X를 사용하고 있습니다. 이 OS는 "Shellshock"의 영향을 받지만 실제로 공격을하는 것은 어렵습니다. 공격자는 HTTPS 서버와 같은 네트워크 서버에 쉽게 액세스 할 수 있지만 엔드 포인트에서는 이러한 네트워크 서버 기능을 정상 동작하지 않습니다. 따라서 위험도는 낮아집니다. 또한 Mac 응용 프로그램은 Unix 및 Linux 응용 프로그램 정도 Shell 스크립트에 의존하지 않습니다. 하지만 SSH는 원격에서 bash에 액세스 할 수있는 경로가되기 때문에, SSH는 감염 경로가 될 가능성이 있습니다.
최종 사용자에게 최대의 관심사는 감염의 가능성이있는 라우터와 공중 무선 LAN 스팟에서 실행 된 악성 DHCP 서버를 통한 공격 할지도 모릅니다. bash는 DCHP 클라이언트 시스템 설정에 이용됩니다. 잘못된 DHCP 서버에 연결된 클라이언트 서버 시스템에서 잘못된 명령을 실행할 수 있습니다. 이것은 잘못된 공중 무선 LAN을 통해 경우에 가장 쉽게 실행할 수 있습니다. 따라서 사용자는 어떤 무선 LAN 네트워크에 연결되는지에주의를 기울여야합니다. 그러나 이것은 이전부터 당사가 권장하는 것입니다. 또한, Mac OS X는 사용자 지정 DHCP 클라이언트를 이용하고 있기 때문에, DHCP를 통해 공격의 영향을받지 않습니다.
모바일 단말에 관해서는, Android 단말은 bash 쉘을 사용하지 않기 때문에이 위협의 영향을받지 않습니다. 또한 iOS 단말도 마찬가지입니다. 그러나 권한이없는 소프트웨어에서 작동하는 "탈옥"의 iOS 단말은 bash를 이용하고 있기 때문에 위험에 노출되어 있습니다. 마찬가지로 루트 권한이있는 모바일 단말이나 개조 한 단말은 Unix 계 OS (bash)를 탑재하고 있기 때문에 "Shellshock"의 영향을받을 수 있습니다.
■ 시나리오 3 : "IoT"와 "IoE"관련 장비
"모두를 연결 인터넷 (IoE) '또는'사물의 인터넷 (IoT)"에 관련한 많은 장비는 Linux 임베디드 버전을 탑재하고 있기 때문에, 공격을받을 수 있습니다. 그러면 IoT 및 IoE 관련 기기에 대한 정보가 절취되어 또 이러한 기기가 봇넷의 일부가 다양한 악성 활동에 이용 될 가능성이 있습니다.
하지만 bash는 모든 IoE 관련 기기에 사용되고있는 것은 아닙니다. 많은 장치는 표준 Unix 명령의 기능을 하나의 실행 파일로 제공하는 ' BusyBox "를 사용하고, bash는 사용되지 않습니다. 이러한 bash를 사용하지 않는 기기는이 취약점의 영향을받지 않습니다.
그러나 "Shellshock"의 영향을받는 IoE 관련 기기를 진단하고 수정 프로그램을 적용하는 것은 매우 어렵습니다. 시스템이 취약점을 안고 있는지를 확인하는 일반적인 테스트를 bash를 포함하는 기기에서 할 일도 곤란을 포함한다. 마찬가지로 IoE 제품을 제공하는 많은 기업에서는 업데이트에 대한 실적은 아직 이상적 아닙니다. "Shellshock '에 대한 장기적인 완화에 대해 IoE 분야는 심각한 문제가 될 것입니다.
■ 트렌드 마이크로의 대책
현 단계에서는 인터넷에 연결하는 서버를 관리하는 IT 관리자가이 공격을 가장 우려해야 할 것입니다.지금까지 기사에서 언급 한 것처럼,이 취약점 핫픽스는 많은 공급 업체에서 제공되고 있습니다.
트렌드 마이크로는 Deep Discovery Inspector 위해 다음의 규칙을 공개하고,이를 통해이 취약점을 이용한 공격을 탐지 할 수 있습니다.
- 1618 - Shellshock HTTP REQUEST
딥 보안을 이용해 사용자가 "DSRU14-028"업데이트하고 다음 필터를 적용하십시오.
- 1006256 - GNU Bash Remote Code Execution Vulnerability
"Shellshock"대한 자세한 내용은 " 보안 블로그 "및" Shellshock 특설 페이지」도 참조하십시오.
참고 기사 :
by Trend Micro
'Security_News > 해외보안소식' 카테고리의 다른 글
| 일본의 "Shellshock"취약점 공격, 임베디드에 직격탄 (0) | 2014.10.02 |
|---|---|
| Twitter를 악용 한 사례 연구 Part 1 (0) | 2014.10.02 |
| iOS8 MAC Randomization – Analyzed! (0) | 2014.10.02 |
| 영국 정부 계약업체, 사이버보안 표준 준수해야 (0) | 2014.10.02 |
| 쉘쇽으로 오픈소스 소프트웨어 문제로 이동 (0) | 2014.09.28 |