bash에 존재하는 「Shellshock "취약점에 대한주의

Linux 등에서 사용되는 오픈 소스 프로그램 "bash"에 취약점 "Shellshock"(CVE-2014-6271) 밝혀졌습니다.

bash는 Linux, BSD, Mac OS X 등의 OS에서 사용되는 "쉘"라는 명령 셸의 하나입니다. 일반 사용자 입장에서 OS의 일부로 간주되는 것이 많다고 생각됩니다.

■ "Shellshock"취약점 (CVE-2014-6271)이란? 
이 취약점은 Linux 등의 OS에서 사용되는 쉘 "bash"환경 변수 처리의 취약점입니다. 이 취약점을 악용하면 bash를 사용하는 Web 서버가 변조되거나 Linux 서버 등 원격 조작되거나 악성 프로그램에 감염 될 위험이 있습니다.

■ 영향을받는 환경은? 
bash가 구현되는 OS 환경에 영향이 있습니다. 특히 각종 Linux 배포판 및 Mac OS X에서는 bash가 표준 탑재되어 기본 쉘로 설정되어 있습니다. CGI, ssh, rsh, rlogin 등으로 bash가 사용되는 경우, 시스템 등의 함수에 의해 호출 연재하고있는 경우에는 특히주의가 필요합니다.

또한 서버 나 PC뿐만 아니라 Linux 기반 기기와 임베디드, Internet of Everything (IoE) 관련 장치 등에서도 영향을받을 수 있습니다.

■ 어떻게 공격에 사용되는지? 
공격자는이 취약점을 가진 서버 나 PC에 취약점을 악용하는 통신을 수행하여 명령을 실행할 수 있습니다. 이렇게하면 원격 조작이나 악성 프로그램의 실행 등의 조작이 가능합니다. 이미이 취약점을 가진 서버를 탐색하는 통신이 확인되고있는 것 같습니다. 이미 관련 악성 프로그램도 확인되고 있습니다.

일반적인 공격 시나리오는 Web 서버 등 인터넷에서 직접 액세스 할 수있는 공용 서버에 대한 원격 공격의 가능성이 높은 것으로 말할 수 있습니다. 로컬 네트워크에있는 서버는 인터넷에서 직접 연결할 수 없기 때문에 공격 가능성은 매우 낮은 것으로 말할 수 있습니다.

■ 핫픽스 완화 방법은? 
이미 GNU Project에서 본 취약점의 일부를 수정하는 다음 패치가 공개되어 있습니다.

• - Bash 4.3 Patch 25
• - Bash 4.2 Patch 48
• - Bash 4.1 Patch 12
• - Bash 4.0 Patch 39
• - Bash 3.1 Patch 18
• - Bash 3.0 Patch 17

또한 각종 Linux 분배에서도 수정 패치가 공개되어 있습니다 만,이 패치는 아직 완전히 수정이 가능하지 않을 수있는 것으로 확인되고 있습니다. 치명적인 취약점으로 인해 Linux 시스템을 사용하는 경우에는 bash를 비활성화하거나 대체 쉘 교체, 취약한 서비스에 대한 입력을 필터링 등의 완화책을 함께 실시 할 것을 권장하고 있습니다.

■ 트렌드 마이크로 솔루션
트렌드 마이크로는 이번 취약점을 이용한 공격에 대응하기 위해 몇 가지 대책을 제공합니다.

서버용 보안 솔루션 'Trend Micro Deep Security "를 이용하는 고객은 침입 방지 (DPI) 규칙을"DSRU14-028 "업데이트 주셔서 규칙 ID"1006256 : GNU Bash Remote Code Execution Vulnerability "을 적용하여 하십시오.

"Deep Discovery Inspector"를 이용하는 고객의 경우,이 취약점을 이용한 공격을 탐지 할 수 있습니다.NCIP 패턴을 "1.12175.00"에 NCCP를 "1.12147.00"에 업데이트 해 주셔서 규칙 ID "1618 : Shellshock HTTP REQUEST"를 적용하십시오.

또한 관련 악성 프로그램을 "ELF_BASHLITE.A"로 검출 할 수 패턴 파일 버전 11.171.xx 업데이트를하십시오.

트렌드 마이크로는 계속해서 조사를 계속하고 있으며 새로운 정보가 확인 되는대로 업데이트하겠습니다