청호PENTEST - Professional Penetration Testing Company

Select Language
루트 권한 가진 사용자 계정, 비밀번호가 없는 채로 활성화 되어 있어
과거에 한 번 픽스된 적 있으나 회귀 테스트 통해 문제가 복구돼


 지난 3년 동안 알파인 리눅스 도커(Alpine Linux Docker) 이미지가 루트 사용자 혹은 슈퍼유저 계정의 비밀번호를 NULL인 상태로 유통됐다고, 시스코의 탈로스(Talos) 보안 연구 팀이 공개했다. 즉, 누구나 슈퍼계정으로 접근할 수 있는 통로가 열린 채로 사용되고 있었던 것이다.

[이미지 = iclickart]


이 처럼 크리덴셜이 하드코드 된 채로 유통되기 시작한 건 ‘공식 알파인 리눅스 도커(Official Alpine Linux Docker)’ 3.3 버전부터라고 하며, 이 버전은 2015년 12월부터 출시됐다고 한다. 3년 만에 발견된 이 취약점은 CVSS 점수를 기준으로 9.8점(10점 만점)을 받았을 정도로 치명적이며, 3.3~3.9 버전과 알파인 도커 에지(Alpine Docker Edge)가 영향권 아래 있다.

탈로스 팀에 의하면 “몇몇 알파인 도커 이미지의 /etc/shadow 파일에, 원래는 암호화 된 비밀번호가 있어야 할 자리에 빈 공간이 저장되어 있는 게 문제의 핵심”이라고 한다.

“결 국 아무런 비밀번호 없이도 최상위 사용자처럼 로그인할 수 있다는 뜻이 되니까요. 리눅스 팸(Linux PAM)을 활용하는 알파인 리눅스 도커 3.3~3.8 버전이나, 그 외 비슷한 방법을 인증 데이터베이스로 사용하는 경우 누구라도 아무런 비밀번호 없이, 혹은 NULL 값을 통해 루트 사용자가 될 수 있습니다.”

이 취약점이 제일 먼저 발견된 건 2015년의 일이다. 그리고 이에 대한 패치도 나왔다. 하지만 패치 발표 후 일주일이 지나고, 회귀 테스트를 위한 커밋(commit)이 적용되기 시작했다.

문제는 이 커밋이 ‘디폴트로서 루트 권한을 비활성화 한다’는 패치 내용을 삭제한 것이다. 즉 패치가 된 줄 알았지만, 이후 진행된 회귀 테스트 때문에 다시 패치 이전으로 돌아간 것이라고 탈로스는 설명한다.

“그 래서 2015년 12월 이후부터 개발된 모든 빌드들에 이 오류가 전혀 언급되지 않고 있습니다. 당연히 패치 노트에도 나타나지 않고 있고요.” 탈로스 팀은 이 문제를 지난 2월에 알파인 리눅스 도커 개발팀에 알렸고, 며칠 후 이 취약점이 과거에도 한 번 수정된 바 있다는 걸 알게 되었다고 한다.

탈로스의 보안 연구원들은 “이번에 발견된 알파인 리눅스 이미지를 기반으로 하고 있는 도커 이미지들에서 루트 계정은 확실하게 비활성화 되어야 하는 게 맞다”고 권고한다.

“이 취약점이 무조건 익스플로잇이 가능하다거나 불가능하다고 말하기는 힘듭니다. 환경과 밀접한 연관이 있습니다. 익스플로잇을 성공시키려면 리눅스 팸이나 그와 유사한 방법으로 알파이 리눅스 도커 이미지가 노출되어 있어야만 하니까요. 리눅스 팸이 자주 사용되는 것이긴 하지만 광범위하게 퍼져있는 건 아닙니다.”
번호 제목 닉네임 조회 등록일
Selected 해결된 줄 알았더니...알파인 리눅스 도커에서 3년된 취약점 재발견
[레벨:30]관리자
4 2019-05-13
8033 내 주민등록증이 인터넷에 떠돈다! 이미지속 개인정보 노출 ‘경고등’
[레벨:30]관리자
4 2019-05-13
8032 일본, 사이버 공격 방어 수단으로 악성코드 개발 계획
[레벨:30]관리자
9 2019-05-10
8031 쉐도우 브로커가 NSA 툴 유출하기 전, 중국 해커는 이미 사용
[레벨:30]관리자
5 2019-05-10
8030 신종 랜섬웨어 ‘Sodinokibi’ 국내 URL 통해 감염 확산...주의
[레벨:30]관리자
3 2019-05-10
8029 러시아 해킹 그룹, 라이트뉴론 가지고 MS 익스체인지 서버 공격
[레벨:30]관리자
2 2019-05-10
8028 ‘견적 요청서’ 메일로부터 사이버공격이 시작된다
[레벨:30]관리자
3 2019-05-10
8027 베트남 공격 그룹 오션로터스, 비전형적인 실행파일로 공격 감춰
[레벨:30]관리자
2 2019-05-09
8026 中, 웜·랜섬웨어의 정부·기업 컴퓨터 공격 늘어
[레벨:30]관리자
2 2019-05-09
8025 해커들을 투명인간으로 만들어주는 공격 기법
[레벨:30]관리자
5 2019-05-09
8024 구인구직 급증 봄철, 이력서 위장 랜섬웨어 연이어 출현
[레벨:30]관리자
2 2019-05-09
8023 베일리테크, RansomEye와 CodeView SandBox로 우회 랜섬웨어 잡았다
[레벨:30]관리자
1 2019-05-09
8022 국내 URL 통해 감염, 랜섬웨어 ‘스페셜리스트’ 출현
[레벨:30]관리자
1 2019-05-09
8021 얼마 전 패치된 웹로직 서버 제로데이 통해 랜섬웨어 퍼져
[레벨:30]관리자
2 2019-05-09
8020 ‘어벤져스: 엔드게임’ 공짜 감상?... 알고 보니 피싱 사이트
[레벨:30]관리자
3 2019-05-09
8019 온라인 팩스와 함께 전송된 갠드크랩 랜섬웨어
[레벨:30]관리자
1 2019-05-09
8018 中 “4월 바이러스 감염 컴퓨터 100만대...보안사건 2,500건”
[레벨:30]관리자
1 2019-05-09
8017 ‘삼성 갤럭시 스마트폰에서 보냈습니다’ 열어보면 악성코드 감염
[레벨:30]관리자
1 2019-05-09
8016 세계적인 암호화폐 거래소 바이낸스에서 4천만 달러 증발
[레벨:30]관리자
1 2019-05-09
8015 당신의 데이터를 인질로 잡는다, 랜섬웨어
[레벨:30]관리자
13 2019-04-23
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X