Glibc Linux 버그로 수천 개 소프트웨어와 장치가 위험에 처할 수 있음

리눅스 Glibc 버그로 수백만 사용자들이 취약한 소프트웨어와 장치로부터 위험에 처할 수 있음

보안 연구자들은 인터넷의 핵심 구성 요소 중 하나에서 잠재적으로 치명적인 결함을 발견했습니다. 이로 인해 수백 또는 수천 개의 앱과 하드웨어 장치가 공격에 취약해져 해커가 이를 제어할 수 있는 가능성이 생깁니다.

연구자들에 따르면, 이 취약점은 2008년 GNU C 라이브러리에 도입된 이후 존재해 왔습니다. GNU C 라이브러리는 수천 개의 앱과 소프트웨어를 구동하는 데 사용되는 오픈 소스 코드로, 대부분의 리눅스 배포판에서 사용됩니다. 이 버그는 또한 가정용 라우터와 기타 사물인터넷(IoT) 장치도 공격에 취약하게 만듭니다.

Ars Technica는 도메인 이름 조회를 수행하는 getaddrinfo()라는 함수가 공격자가 원격으로 악성 코드를 실행할 수 있는 버퍼 오버플로우 버그를 포함하고 있다고 언급합니다. 이 취약점은 취약한 장치나 앱이 공격자가 제어하는 도메인 이름이나 도메인 이름 서버에 쿼리를 보낼 때 또는 중간자 공격에 노출될 때 악용될 수 있습니다. 모든 glibc 버전 2.9 이후가 취약합니다.

glibc 개발 팀은 이 취약점을 패치하는 업데이트를 발표했습니다. 도메인 이름 조회를 수행하는 모든 소프트웨어나 하드웨어가 가능한 한 빨리 패치를 설치할 것을 요청했습니다.

그러나 버그의 특성상 문제의 심각성과 얼마나 많은 장치가 영향을 받을 수 있는지 알기 매우 어렵습니다.

“많은 사람들이 지금 이 문제가 정말로 치명적인지 아니면 우리가 총알을 피했는지 알아내기 위해 뛰어다니고 있습니다.”라고 서리 대학교의 보안 전문가인 앨런 우드워드 교수는 말했습니다.

패치를 발표했음에도 불구하고, 위에서 언급한 바와 같이 glibc 버그는 저렴한 가정용 라우터와 같은 수천 개의 노마드 장치를 취약하게 만들 수 있습니다. 또한 취약한 버전의 glibc로 컴파일된 일부 앱은 업데이트된 버전의 라이브러리로 다시 컴파일해야 하며, 이는 하드웨어 제조업체와 앱 개발자로부터 수정 사항이 제공될 때까지 시간이 걸리는 과정입니다.

발견을 설명하는 블로그 게시물에서 구글 팀은 일반적으로 사용되는 코드의 결함이 어떻게 원격으로 장치에 접근할 수 있는 방식으로 악용될 수 있는지를 자세히 설명했습니다. – 컴퓨터, 인터넷 라우터 또는 기타 연결된 장비일 수 있습니다.

코드는 또한 PHP 및 Python과 같은 웹의 여러 “구성 요소” 내에 있을 수 있으며, 사이트에 로그인하거나 이메일에 접근할 때 사용되는 시스템에도 영향을 미칩니다.

업데이트할 수 있는 위치에 있는 사람은 가능한 한 빨리 업데이트해야 합니다. 구글의 블로그 게시물은 계속해서 다음과 같이 언급했습니다:

구글은 glibc 인스턴스를 즉시 패치할 수 없는 경우 악용을 방지하는 데 도움이 될 수 있는 몇 가지 완화 조치를 발견했습니다. 이 취약점은 과도한(2048+ 바이트) UDP 또는 TCP 응답에 의존하며, 이는 스택을 덮어쓰는 또 다른 응답이 뒤따릅니다. 우리가 제안하는 완화 조치는 DNSMasq 또는 유사한 프로그램을 통해 로컬 DNS 리졸버가 수용하는 응답 크기를 제한하고, DNS 쿼리가 응답 크기를 제한하는 DNS 서버에만 전송되도록 하는 것입니다.

한편, Glibc 유지 관리자는 다음과 같은 추가 완화 세부 정보를 제공했습니다:

UDP에 대한 완화 요소는 다음과 같습니다:
– 512 바이트를 초과하는 UDP DNS 패킷을 차단하는 방화벽.
– 비준수 응답을 차단하는 로컬 리졸버.
– 이중 A 및 AAAA 쿼리를 피하십시오(버퍼 관리 오류를 피함) 예:
AF_UNSPEC을 사용하지 마십시오.
– /etc/resolv.conf에서 options edns0를 사용하지 마십시오. EDNS0는 512 바이트보다 큰 응답을 허용하며 오버플로우되는 유효한 DNS 응답으로 이어질 수 있습니다.
– RES_USE_EDNS0 또는 RES_USE_DNSSEC를 사용하지 마십시오. 이 두 가지 모두 오버플로우되는 유효한 큰 EDNS0 기반 DNS 응답으로 이어질 수 있습니다. TCP에 대한 완화 요소는 다음과 같습니다:
– 모든 응답을 1024 바이트로 제한합니다. 작동하지 않는 완화 조치:
– options single-request를 설정해도 버퍼 관리가 변경되지 않으며 공격을 방지하지 않습니다.
– options single-request-reopen을 설정해도 버퍼 관리가 변경되지 않으며 공격을 방지하지 않습니다.
– IPv6를 비활성화해도 AAAA 쿼리가 비활성화되지 않습니다. AF_UNSPEC의 사용은 이중 쿼리를 무조건 활성화합니다.
– sysctl -w net.ipv6.conf.all.disable_ipv6=1을 사용해도 시스템을 공격으로부터 보호하지 않습니다.
– 로컬 또는 중간 리졸버에서 IPv6를 차단해도 공격을 방지하지 않습니다. 공격 페이로드는 A 또는 AAAA 결과로 전달될 수 있으며, 버퍼 관리 결함을 유발하는 것은 병렬 쿼리입니다.

이 취약점은 2014년에 발견된 Shellshock과 비교되고 있으며, 이는 광범위한 컴퓨팅 장치에 영향을 미쳤습니다. 레드햇 관계자는 여기에서 더 많은 정보를 제공합니다.