2024-03-19 18:40 (화)
구글 보안 엔지니어들, Dnsmasq에서 7가지 심각한 취약점 발견
상태바
구글 보안 엔지니어들, Dnsmasq에서 7가지 심각한 취약점 발견
  • hsk 기자
  • 승인 2017.10.05 11:52
이 기사를 공유합니다

n-6.jpg
구글 보안 엔지니어들이 널리 사용되는 경량급 DNS 및 DHCP 서버인 Dnsmasq에서 7개의 심각한 취약점을 발견했다.

해당 오픈소스 프로그램은 다수의 홈 라우터와 특정 IoT 가젯, 우분투나 데비안 같은 데스크탑 리눅스 배포판에 포함되어 있다. 쇼단에 따르면 현재 1,098,179개 디바이스들이 Dnsmasq 서비스가 실행 중인 인터넷에 연결되어 있다.

가장 심각한 버그를 통해 공격자는 취약한 시스템에서 악성코드를 실행하고 하이재킹하고 익스플로잇할 수 있다. 개발자 Simon Kelley가 릴리즈한 버전 2.78에 모든 패치가 적용되어 있으므로 사용자들은 해당 버전으로 업데이트해야 한다. 안드로이드 10월 패치와 장치 펌웨어 제조업체 업데이트도 있다. Kubernetes 버전 1.5.8, 1.6.11, 1.7.7, 1.8.0에도 패치가 적용되어 있다.

구글팀은 월요일 블로그를 통해 “우리는 내부 보안 정기 평가를 통해 7가지 뚜렷한 이슈들을 발견했다. 이 이슈들의 심각성을 파악한 다음 그 영향과 악용 가능성을 조사하고, 각각에 대한 PoC 코드를 작성했다.”고 밝혔다. 7가지 결함은 원격 코드 실행을 통해 익스플로잇할 수 있는 3가지와 DoS 공격에 악용될 수 있는 3가지, 1가지의 정보 유출 취약점을 포함한다.

△CVE-2017-14491–공개 시스템과 로컬 네트워크에서 익스플로잇될 수 있는 DNS subsystem 원격 코드 실행 취약점. 이전 버전에는 2바이트의 오버플로우 버그가 있었고, 그 이전 모든 빌드에는 무제한 오버플로우가 존재했다.

△CVE-2017-14492–힙 기반 오버플로우를 통해 작동하는 원격 코드 실행 취약점

△CVE-2017-14493–구글은 이것은 사소한 취약점으로 분류했다. 아래에 있는 취약점(CVE-2017-14494)과 함께 사용되었을 때 원격 코드 실행이 가능한 스택 기반 버퍼 오버플로우 취약점이다.

△CVE-2017-14494–DHCP에서 정보 누출 취약점으로 위의 취약점(CVE-2017-14493)과 함께 사용할 경우, 보안 매커니즘 ASLR을 우회하고 타깃 시스템에서 코드를 실행할 수 있다.

△CVE-2017-14495–이 취약점은 제한되어 있지만 메모리를 소모하여 DoS 공격을 시작하는데 악용될 수 있다. 명령줄에서 –add-mac과 --add-cpe-id 또는 –add-subnet이 바뀐 경우의 Dnsmasq만이 취약하다.

△CVE-2017-14496–여기서 DNS 코드는 유효하지 않은 boundary 검증을 수행한다. 거대한 memcpy() 호출로 이어지는 정수 언더플로우를 사용하여 시스템에서 크래시를 발생시킬 수 있다. 안드로이드 시스템들은 공격자가 로컬이거나 디바이스에 직접 연결되어 있는 경우 영향을 받는다.

△CVE-2017-13704–대규모 DNS 쿼리로 인해 소프트웨어에서 크래시가 발생할 수 있는 취약점이다.

패치 및 PoC 코드는 Github에서 볼 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★