공유할 서비스 선택

TECH


TECH

OS [보안취약점] XZ유틸즈에서 발견된 백도어 `CVE-2024-3094`

페이지 정보

작성자 OSworker 아이디로 검색 전체게시물 댓글 0건 조회 971회 좋아요 1회 작성일 24-04-03 19:55

본문

안녕하세요 

 

오늘은 [보안취약점] XZ유틸즈에서 발견된 백도어 `CVE-2024-3094`  에 대해 알려드리려합니다. 

얼마전에 뉴스에 나오고 현재도 뉴스에서도 많이 나와 궁금해 하는 고객들이 많습니다.  

 

빠르게 설명드리겠습니다. ^^

 

뉴스 : XZ유틸즈에서 발견된 백도어, 오픈소스 커뮤니티를 침체시켜

Link : https://www.boannews.com/media/view.asp?idx=128442&kind=

-------------------

문제의 백도어가 임베드 되어 있던 곳은 liblzma라는 이름의 XZ 라이브러리였다. 공격자는 이 백도어를 통해 원격에서 안전 셸(sshd) 인증 과정을 회피할 수 있고, 그 후 피해자 시스템에 대한 완전 접근 권한을 갖게 된다. 처음 일각에서는 이 백도어가 취약점인 것으로 알려지기도 했으나 지금은 XZ유틸즈의 메인테이너 자격을 가진 누군가가 이 백도어 코드를 심은 것으로 의견이 굳어가고 있다. 

 

오픈소스 커뮤니티가 받은 충격

이 백도어의 영향 아래 있는 건 XZ유틸즈 중에서도 5.6.0 버전과 5.6.1 버전이다. 현재는 페도라, 데비안, 칼리, 수세, 아치라는 리눅스 배포판들의 언스테이블 및 베타 버전에서만 사용되는 버전들이다. 그렇기 때문에 이 백도어의 파급력은 생각만큼 대단하지는 않을 것으로 전망된다. 스테이블 버전의 리눅스 배포판들의 XZ유틸즈에 있었다면 훨씬 시급한 사태가 벌어졌을 것이라고 전문가들은 보고 있다. 즉 최악의 최악은 면했다는 게 전문가들 사이의 중론이라는 뜻이다.

 

최고 등급 취약점

페도라 리눅스의 가장 중요한 후원자이자 컨트리뷰터인 레드햇(Red Hat)은 문제가 된 백도어에 취약점 식별 번호를 부여했다. CVE-2024-3094였다. 그리고 CVSS 기준 10점 만점에 10점을 매겼다. 이 때문에 백도어가 취약점으로 오인받고 있기도 한데 레드햇은 “시급한 문제라 최대한 많은 이목을 끌기 위해 그랬다”고 한다. 여기에 CISA까지 합류해 레드햇과 같이 빠른 조치를 촉구했다. XZ유틸즈를 다운그레이드 하라는 것이었다. 본지도 주말과 월요일 세 건의 기사로 이 시급한 문제를 빠르게 알린 바 있다.

 

보안 업체 바이널리(Binarly)는 누구나 백도어가 심긴 XZ유틸즈가 존재하는지 확인할 수 있도록 무료 도구를 만들어 배포하기도 했다. 

이 도구는 여기(https://www.binarly.io/blog/xz-utils-supply-chain-puzzle-binarly-ships-free-scanner-for-cve-2024-3094-backdoor)서 다운로드가 가능하다. 

-------------------




Red Hat Blog : 

Urgent security alert for Fedora Linux 40 and Fedora Rawhide users


-----------------------------------------
2024년 3월 30일에 업데이트된 내용입니다:
Fedora Linux 40 베타 버전에는 xz 라이브러리의 두 가지 영향을 받는 버전이 포함되어 있음을 확인했습니다 - xz-libs-5.6.0-1.fc40.x86_64.rpm 및 xz-libs-5.6.0-2.fc40.x86_64.rpm입니다. 현재까지 Fedora 40 Linux는 실제 악성 코드 공격의 영향을 받지 않는 것으로 보입니다. 그러나 모든 Fedora 40 Linux 베타 사용자가 5.4.x 버전으로 되돌아가도록 권장합니다.

> 왜 XZ 인가요?
xz는 거의 모든 Linux 배포판에 존재하는 범용 데이터 압축 형식입니다. 커뮤니티 프로젝트와 상용 제품 배포판 모두에서 찾을 수 있습니다. 이 형식은 주로 대용량 파일 형식을 더 작고 관리하기 쉬운 크기로 압축(그리고 해제)하여 파일 전송을 통해 공유하기 쉽도록 도와줍니다.

>악성 코드란 무엇인가요? xz 라이브러리의 버전 5.6.0 및 5.6.1에 존재하는 악성 삽입은 난독화되어 있으며 다운로드 패키지에만 포함되어 있습니다. Git 배포에는 악성 코드를 빌드하는 M4 매크로가 없습니다. 빌드 시간에 악성 코드를 삽입하기 위해 두 번째 단계의 아티팩트가 Git 저장소에 포함되어 있습니다. 결과적으로 악성 빌드는 systemd를 통해 sshd의 인증을 방해합니다. SSH는 원격으로 시스템에 연결하기 위해 일반적으로 사용되는 프로토콜이며, sshd는 액세스를 허용하는 서비스입니다. 적절한 상황에서 이러한 방해는 악의적인 행위자가 sshd 인증을 우회하고 전체 시스템에 원격으로 액세스하는 것을 가능하게 할 수 있습니다. 어떤 배포판이 이 악성 코드에 영향을 받나요? 현재 조사 결과, 이 패키지는 레드햇 커뮤니티 생태계 내에서 Fedora 40 및 Fedora Rawhide에만 존재합니다.

드햇 엔터프라이즈 리눅스(RHEL)의 어떠한 버전도 이 CVE에 영향을 받지 않았습니다.

결론은 레드햇 사용중인 고객에게는 영향이 없다는 것입니다. 이말은 곧 CentOS, Rocky linux, Oracle linux 모두 해당되는것과 같습니다.
그래도 걱정이신 분들은 위 안내한대로 검사 툴을 다운받은뒤에 테스트를 해보시는것도 좋습니다.

추가 참고링크

감사합니다.

댓글목록

등록된 댓글이 없습니다.

TECH 목록
번호 제목 작성자 작성일 조회수
86 OS OSworker 아이디로 검색 전체게시물 05-19 31
OS내에 있는 stress-ng 도구를 사용하여 CPU, 메모리, HDD에 동시에 스트레스를 주는 방법을 안내해 드리겠습니다.

카테고리 : OS

31 0
작성자 : OSworker 24/05/19
85 OS OSworker 아이디로 검색 전체게시물 05-12 69
Red Hat Enterprise Linux 9.4 에 대해 간략하게 알아가는 시간~!!!!

카테고리 : OS

69 0
작성자 : OSworker 24/05/12
84 OS OSworker 아이디로 검색 전체게시물 04-20 135
Diagram, Architect 등 서버의 구성에 대해 그림그리실때 무엇을 사용하시나요?

카테고리 : OS

135 0
작성자 : OSworker 24/04/20
83 OS OSworker 아이디로 검색 전체게시물 04-14 204
[교육] RH174 : Managing CentOS Migrations and RHEL Upgrades

카테고리 : OS

204 0
작성자 : OSworker 24/04/14
열람중 OS OSworker 아이디로 검색 전체게시물 04-03 972
열람중
[보안취약점] XZ유틸즈에서 발견된 백도어 `CVE-2024-3094`

카테고리 : OS

972 0
작성자 : OSworker 24/04/03
81 OS OSworker 아이디로 검색 전체게시물 03-30 252
레드햇 자격증 시험을 집에서~ 원하는 곳에서 볼수있는거 알고계셨나요?

카테고리 : OS

252 0
작성자 : OSworker 24/03/30
80 OS OSworker 아이디로 검색 전체게시물 03-24 359
RHEL7 to RHEL8 leapp으로 마이그레이션 하는 방법에 대해~

카테고리 : OS

359 0
작성자 : OSworker 24/03/24
79 OS OSworker 아이디로 검색 전체게시물 03-17 278
Convert2RHEL를 사용하여 CentOS 7.9 에서 RHEL7.9로 전환해보겠습니다.

카테고리 : OS

278 0
작성자 : OSworker 24/03/17
78 OS OSworker 아이디로 검색 전체게시물 02-28 374
RHEL8부터는 네트워크 본딩을 구성하려면 nmcli 유틸리티를 사용해야 합니다. 레드햇 권고입니다.

카테고리 : OS

374 0
작성자 : OSworker 24/02/28
77 OS OSworker 아이디로 검색 전체게시물 02-19 541
[질문] free 메모리에서 Used가 너무 높게 나오는데, ps 명령어에는 사용율이 없습니다.

카테고리 : OS

541 0
작성자 : OSworker 24/02/19
Total 86건
게시물 검색

주식회사 클럭스| 대표 : 이찬호| 사업자등록번호 : 107-87-27655
주소 : 서울특별시 영등포구 국회대로 800, 여의도파라곤
E-mail : sales@chlux.co.kr
Copyright © 클럭스 www.chlux.co.kr All rights reserved.
상단으로Top