[CVE-2022-0847] 리눅스 커널 로컬 권한 상승 취약점

리눅스 커널 로컬 권한 상승 취약점(CVE-2022-0847, Dirty Pipe)에 대해 알아보겠습니다.

 

 

Dirty Pipe 취약점 ?

 

2022년 3월 7일, 보안 연구원 Max Kellermann이 새로운 리눅스 취약점을 공개하였습니다.

해당 취약점은 Dirty Pipe (CVE-2022-0847) 라고 명명되었으며, CVSSv3 점수는 7.8 입니다.

 

어떤 취약점이길래 ?

 

CVE-2022-0847 취약점을 악용하면 ?

권한이 없는 사용자가 루트 권한으로 실행되는 SUID 프로세스를 포함하여

읽기 전용 파일에 데이터를 삽입하고 덮어쓸 수 있습니다.

즉, 공격자가 권한을 상승시켜 액세스 권한을 부여하고,

시스템에서 모든 종류의 작업을 수행할 수 있습니다.

 

Dirty Pipe 취약점은 공격자에게 리눅스 및 클라우드 인프라에서

사용하기 쉬운 로컬 권한 상승 기능을 제공하기 때문에 중요한 취약점입니다.

 

취약점이 어떻게 악용되는지 ?

권한 상승에 대해 Dirty Pipe 취약점을 악용하는 방법 중 하나는

권한과 함께 사용자 목록이 포함된 /etc/passwd 파일에 글을 쓰는 것입니다.

 

예를 들어 /etc/passwd에 아래 사진의 내용을 추가하면

'malcious-attacker'라는 새로운 사용자가 생성되며, 암호와 함께 루트 권한이 부여됩니다.

 

[사진] Dirty Pipe 취약점을 이용하여 /etc/passwd 파일에 기록 후, 시스템에 권한 있는 사용자 추가

(출처 : Datadog)

 

어떤 버전에 영향을 주나요 ?

Dirty Pipe 취약점은 Linux Kernel 5.8을 포함한 이후 버전을 사용하는 모든 시스템에 영향을 미칩니다.

Max Kellermann은 Dirty Pipe 취약점이 2016년에 수정된 Dirty COW 취약점(CVE-2016-5195)과

원리가 유사하여 악성 행위자들이 적극적으로 악용에 나서고 있다고 말했습니다.

 

안드로이드에도 영향을 준다 ?

CVE-2022-0847 취약점에 영향을 받는 것은 리눅스 시스템뿐만이 아닙니다.

 

Linux Kernel 5.8 버전 이상을 실행하는 모든 장치가 취약한 상황에서

안드로이드 역시 Linux Kernel을 사용하기 때문에 많은 사람들이 잠재적인 위험에 노출될 수 있습니다.

또한, 권한이 낮은 계정과 셸 액세스 권한을 가지고 있는 공유 웹 호스팅 서버와 같은 시스템에서도 위험할 수 있습니다.

 

 

해결 방법이 무엇인가요 ?

CVE-2022-0847 취약점에 영향을 받지 않기 위해서는

Linux Kernel을 5.16.11, 5.15.25, 5.10.102 버전으로 업데이트 하는 것을 권장하고 있습니다.

 

 

감사합니다.