Wireshark라는 네트워크 패킷 분석 프로그램에 Stack 버퍼 오버플로우 취약점이 발견됐다. Dissect_getaddrsbyname_request 기능을 타깃으로 해당 취약점을 유발하며 원격 코드를 실행할 수 있는 상황이다.
 
이 취약점을 발견하고 보고서를 발표한 NSHC(허영일 대표) Red Alert팀은 “메타스플로잇을 이용해 공격 설정을 구성하고 대상 시스템에서 취약한 버전의 Wireshark를 구동하고 패킷 캡처를 시작한다. 다음은 공격 설정이 구성된 메티스플로잇 모듈을 동작시켜 익스플로잇을 진행하면 대상 시스템을 장악할 수 있다”고 설명했다.
 
Red Alert팀 관계자는 “해당 취약점은 패킷 캡처 도구의 캡처 과정에서 발생하는 취약점으로 송수신되는 모든 패킷에 대한 캡처를 검증과정 없이 진행하기 때문에 발생한다”며 “캡처 과정에서 육안으로 확인 가능한 데이터를 출력할 때 파싱(Parsing) 과정을 거치고 이러한 데이터는 취약한 함수를 이용할 수 있게 된다”고 설명했다.
 
대응방안에 대해 “패킷 처리를 하는 특수 함수의 동작오류로써 해당 함수의 문제점을 개선하고 추가적으로 발생할 수 있는 파싱 취약점을 점검해야 한다”고 밝혔다.
 
보다 자세한 사항은 Red Alert팀 페이스북 페이지에서 보고서를 다운로드 해 확인할 수 있다.
-Red Alert팀: www.facebook.com/minkwon.gil#!/R3d4l3rt.Notice
 
데일리시큐 길민권 기자 mkgil@dailysecu.com