OS OpenSSH 'CVE-2023-38408' 보안 취약점 안내
페이지 정보
작성자 OSworker 아이디로 검색 전체게시물 댓글 1건 조회 2,285회 좋아요 0회 작성일 23-07-31 22:06본문
7월 19일 레드햇에서는 CVE-2023-38408 보안 취약점에 대해 안내를 했습니다.
> Description
OpenSSH에 취약성이 있습니다. OpenSSH의 ssh-agent의 PKCS#11 기능에 신뢰할 수 없는 검색 경로가 있으므로 에이전트가 공격자가 제어하는 시스템으로 전달되면 원격 코드가 실행됩니다(/usr/lib의 코드가 반드시 ssh-agent로 로드하는 데 안전하지는 않음). 이 결함을 통해 공격자는 서버에서 전달된 에이전트 소켓을 제어하고 클라이언트 호스트의 파일 시스템에 쓸 수 있으며 ssh-agent를 실행하는 사용자의 권한으로 임의 코드를 실행할 수 있습니다.
-> 제가 이해한것을 요약하자면,
서버 A로 접속해서 서버B로 접속 시에 공개키가 필요하거나 패스워드가 필요합니다. 그리고 서버 B에서 C서버 접속시에도 공개키나 패스워드가 필요하지만, PKCS#11 기능을 이용하고,
SSH 설정이 'ForwardAgent yes'로 되어있으면, A서버가 C서버로 공개키나 패스워드 없이 로그인이 가능하다는 것입니다.
> Mitigation
원격 공격을 위해 사용자가 에이전트 포워딩을 사용하도록 설정된 상태에서 손상되거나 악의적인 SSH 서버에 대한 SSH 연결을 설정해야 합니다. 에이전트 포워딩은 기본적으로 사용되지 않도록 설정됩니다. 에이전트 포워딩 구성 지시문 사용을 위해 SSH 클라이언트 구성 파일을 검토하고 -A 명령줄 인수 사용을 위해 SSH 클라이언트 호출을 검토하여 특정 연결에 대해 에이전트 포워딩이 사용되도록 설정되었는지 확인하십시오.
빈 PKCS#11/FIDO 허용 목록(ssh-agent -P '')으로 ssh-agent(1)를 시작하거나 특정 제공자 라이브러리만 포함된 허용 목록을 구성하여 공격을 방지할 수도 있습니다.
-> 현재(7/31일기준) 까지 해결을 위한 패키지가 제공되지 않은 상태이며, 임시방편으로 해킹을 막기위해
1) 빈 PKCS#11/FIDO 허용 목록(ssh-agent -P '')으로 ssh-agent(1)를 시작
# ssh-agent -P ''
2) ForwardAgent 설정을 no로 변경 (no 가 default 설정이긴 합니다.)
ForwardAgent no
# 참조 링크
. https://access.redhat.com/security/cve/cve-2023-38408
감사합니다.
댓글목록
OSworker님의 댓글
OSworker 작성일Errata 나왔습니다. 위 참조링크 가시면 해결방법 나와있습니다. 참고하세요~
Top