키링의 레퍼런스가 누설되는 오류, 공격자 권한 상승시켜

[보안뉴스 문가용] 수백에서 수천만 대의 리눅스 기반 PC와 서버, 66%의 안드로이드 기기들이 최근 발견된 리눅스 커널 취약점에 노출되어 있다는 사실이 드러났다. 해당 취약점을 악용할 경우 UAF(use-after-free) 공격을 통해 로컬에서의 권한을 임의로 상승시키는 게 가능하다. 해당 취약점을 발견한 건 보안전문 업체인 퍼셉션포인트(Perception Point)다.


아직 본 취약점을 본격적으로 악용한 사례는 발견되지 않고 있지만 취약점이 미치는 영향력이 워낙에 광범위해 가볍게 볼 수 없는 문제라고 퍼셉션포인트는 말한다. CEO이자 공동 창립자인 이브게니 패츠(Yevgeny Pats)에 의하면 “리눅스 커널 3.8 이후 버전은 전부 이 취약점에 노출되어 있는 상태입니다. 32비트, 64비트 가리지 않고, 데스크톱, 서버, 모바일, 임베디드 기기 등도 가리지 않습니다.”

이 취약점은 CVE-2016-0728로 암호화 키나 인증 키가 저장되어 있는 키링(keyring)의 레퍼런스 누설(reference leak) 오류다. 키링의 객체들은 프로세스들 간에 공유가 되는데, 이때 각 프로세스마다 같은 키링 이름을 참조(refer)하는 방식이 사용된다. 한 프로세스에서 현제 세션에서 사용되고 있는 키링을 똑같은 키링으로 교체 시도할 경우 오류가 메시지가 활성화되는데, 레퍼런스 누설은 이때 발생한다.

객체가 이런 식으로 누설되었을 경우, 해당 객체를 사용하여 UAF 공격을 하는 것이 가능해진다. 성공 시 공격자는 루트에도 접근을 할 수 있다. 보다 자세한 내용은 퍼셉션 포인트의 분석 보고서에 나와 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>