bash에 존재하는 취약점 "Shellshock": "CVE-2014-7169」및 「CVE-2014-6271"

Linux 등에서 사용되는 오픈 소스 프로그램 "Bourne Again shell (bash)"명령 쉘에 치명적인 취약점이 존재하는 것으로 확인되었습니다. bash는 대부분의 Linux 배포판에서 일반적으로 사용되는 쉘입니다. 공격자는 "Shellshock"라는 취약점 ' CVE-2014-7169」이있는 시스템에서 명령을 실행하는 것이 가능합니다. 즉, 이러한 Linux 배포판을 실행하는 서버에서이 취약점은 원격 코드를 실행하는 것을 허용합니다.

■ "Shellshock"취약점이란 무엇인가
Unix 계열의 OS 환경에서 가장 많이 사용되는 쉘에 심각한 문제가 확인되었습니다. 이 결함으로 인해 공격자가 네트워크를 통해 다른 어떤 명령을 수행 할 수 있습니다. 가장 영향을받는 것은 CGI 환경을 사용하여 Web 서버입니다.

bash는 쉘 함수를 다른 bash 인스턴스로 내보낼 수 있습니다. 이것은 함수 정의를 가진 환경 변수를 생성하여 실행됩니다. 예를 들어,

env ENV_VAR_FN = '() { }; '

"ENV_VAR_FN"는 후속 bash 인스턴스로 내보내기 함수입니다. 이것은 편리한 기능처럼 보입니다. 하지만 bash에 존재하는이 문제에 대한 함수 정의를 넘어 읽기 계속되고 정의 다음에 오는 명령이 실행됩니다. 정의를 넘은 경우 read가 중지 된 이후이 무엇이든 무시되는 것이 이상적이지만,이 취약점으로 인해 그렇게되지 않습니다.

env ENV_VAR_FN = '() { }; '

■ 네트워크 서비스에 어떤 영향을 미치는지
bash 환경은 CGI와 ssh, rsh, rlogin 등 다양한 설정으로 이용되는 것을 생각하면 이러한 서비스 모두가 이번 취약점의 영향을받지 입니다. 사용자 입력 정보를 수집하고 bash의 OS 환경에 저장하는 모든 Web 서버도 취약한 상태에 있습니다. 다음은 CGI 환경에서 나쁜 요구의 예입니다.

GET / HTTP / 1.1

User-agent : () {:;}; echo something> / var / www / html / new_file

이 요청은 새 파일 "new_file"이 공격자를 위해 만들어집니다.

Web 응용 프로그램이이 취약점의 영향을 가장 받기 쉬운 것입니다. 그러나, 상술 한 바와 같이, 다른 서비스를 통해 취약점이 이용 될 수 있습니다.

■ 어떤 손상을 입을 수 있는지
위는 파일의 생성을 나타낸뿐입니다 만, 공격자는 사실 bash 쉘에서 생각할 수있는 모든 명령을 실행할 수 있습니다. 예를 들어, Web 서버의 컨텐츠 수정, Web 사이트의 코드 변경, Web 사이트 변조, 데이터베이스에서 사용자 정보 절취, Web 사이트상의 권한 변경, 백도어 악성 프로그램 설치 등이 가능합니다.

이것은 Web 서버를 실행하는 사용자로 실행 될 수 있습니다. 일반적으로 "httpd"사용자입니다. 이 취약점 만 권한 상승이 이루어지지 않지만, 다른 취약점과 함께 사용하면 루트 사용자에게 권한 상승을 허용 할 수 있습니다. 공격자가 다양한 취약점 공격을 조합하여 시스템이나 네트워크에 침입하는 것은 매우 일반적인 것입니다.

Shell 스크립트는 Linux에서 널리 사용되고 있기 때문에이 취약점을 악용하려면 여러 방법이 있습니다.bash는 Unix, Linux, 또한 Mac OS X의 대부분의 시스템에서 사용할 수 있습니다. Linux를 제공하는 대기업 Red Hat은 자사의 홈페이지 에서 "bash 쉘 폭넓게 이용되고 있기 때문에이 문제는 매우 심각하고 적절하게 처리해야한다"고 말했다.

또한 Linux, 즉 bash는 "모두를 연결 인터넷 (IoE) '또는'사물의 인터넷 (IoT)"에 관한 기기에서도 사용되어 있기 때문에 이러한 기기도 취약점을 안고있는 위험이 있으며, 패치를 적용하는 것이 곤란하다는 것도 고려해야합니다. 마지막으로, 가상 통화 "Bitcoin (비트 ​​코인)」도이 보안 문제의 영향을받을지도 모른다는 뉴스 기사 도 있습니다.

■ 어떤 bash 버전이 영향을 받는지
버전 4.3 이하의 모든 bash의 버전에 취약점이 존재합니다. 귀하의 Unix 시스템 공급 업체 Web 사이트에서 수정 된 버전을 구하십시오. Red Hat 사용자는 여기 를 참조 할 수 있습니다.

■ 사용자가 무엇을 해야할지
bash를 최신 버전으로 업데이트하십시오. ssh 키가 이미 절취되어있을 가능성도 있기 때문에 영향의 크기를 생각하고 ssh 키를 교환하고 Web 서버의 무결성에 영향이 없는지 확인하십시오. 또한 계정 정보를 업데이트하고 데이터베이스 로그를 확인하여 대량의 정보를 추출하는 쿼리가 실행되고 있지 않은지 확인하는 것도 좋습니다.

■ "Shellshock"을 이용한 공격을받은 것을 알고 있는가?
Web 서버의 로그를 조사하면 대부분의 경우이 공격의 흔적을 확인할 수 있습니다. 액세스 로그에서 문자열 "() {"를 검색하십시오. 또한 오류 "error_log"에 로그됩니다. 그러나 이번 공격의 흔적을 확인할 수없는 경우도 있습니다.

트렌드 마이크로의 서버를위한 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안)"는 변경 모니터링을 통해 로그를 확인하여 Web 서버 요소의 무결성에 영향을받지 않은 것을 확인할 수 있습니다.

■ 트렌드 마이크로의 대책
딥 보안을 이용해 사용자가 "DSRU14-028"업데이트하고 다음 필터를 ​​적용하십시오.

• 1006256 - GNU Bash Remote Code Execution Vulnerability

트렌드 마이크로는 Deep Discovery Inspector 위해 다음의 규칙을 공개하고,이를 통해이 취약점을 이용한 공격을 탐지 할 수 있습니다.

• 1618 - Shellshock HTTP REQUEST

또한이 취약점 관련 악성 프로그램은 "ELF_BASHLITE.A"로 검색합니다. 패턴 파일 버전을 11.171.xx 업데이트하십시오.

"Shellshock"에 대한 정보는 계속해서 업데이트하고 있습니다. "Shellshock"대한 자세한 내용은 " 보안 블로그 "및" Shellshock 특설 페이지」도 참조하십시오.

참고 기사 :

" Shell Attack On Your Server : Bash Bug 'CVE-2014-7169'and 'CVE-2014-6271' " 
by Pavan Thorat and Pawan Kinger (Deep Security Labs)

　번역 : 시나가와 아키코 (Core Technology Marketing, TrendLabs)