리눅스 커널에서의 두 가지 취약점, 아직 패치되지 않아

중간급 위험도 가진 디도스 취약점, 비공식 패치만 존재해
CVE-2018-19406과 CVE-2018-19407...APIC와 관련 있어

[보안뉴스 문가용 기자] 최근 리눅스 커널에서 발견된 두 개의 취약점들이 아직도 패치가 되지 않고 있다는 소식이다. 이 취약점들을 익스플로잇 할 경우 디도스 공격이 가능해진다고 한다.

[이미지 = iclickart]

이 두 가지 오류 전부 지난 주에 공개된 것으로 리눅스 커널 4.19.2와 그 이전 버전들에 영향이 있다고 한다. 둘 다 널 포인터 역참조(NULL pointer dereference) 오류들이며, 로컬에서 익스플로잇이 가능하며, 약 중간 정도의 위험도를 가지고 있다고 분석됐다.

둘 중 하나의 취약점은 CVE-2018-19406으로, 리눅스 커널 함수인 kvm_pv_send_ipi에서 처음 발견됐다. 이 함수는 arch/x86/kvm/lapic.c에서 정의된다. 이 오류의 경우 APIC(Advanced Programmable Interrupt Controller) 맵이 올바르게 시작되지 않았을 때 발동된다.

그러므로 이 취약점을 익스플로잇 하기 위해서는 로컬의 공격자가 조작된 시스템 요청을 사용해 APIC 맵이 제대로 시작되지 않는 상황을 유발해야 한다. 리눅스 전문가인 완펭 리(Wanpeng Li)는 보고서를 통해 “APIC 맵이 시작되지 않을 경우 pv_send_ipi 인터페이스가 vmcall을 통해 시작된다”며 “그럴 경우 kvm의 arch.apic_map에 대한 역참조 현상이 발생한다”고 설명했다.

그러면서 리는 “APIC 맵이 NULL 상태인지 아닌지 확인하고, 만약 NULL 상태라면 곧바로 긴급 탈출하도록 하는 패치가 필요하다”고 덧붙였다.

두 번째 취약점은 CVE-2018-19407로, vcpu_scan_ioapic 함수에 영향을 준다. 이 함수는 arch/x86/kvm/x86.c에 정의되어 있다. I/O APIC가 제대로 시작되지 않을 때 발동되는 버그로, 로컬의 사용자가 조작된 시스템 호출을 통해 공격 가능한 상황을 만들 수 있다.

완펭 리는 “이 취약점은 scan ioapic 로직과 관련이 있다”며 “패치의 방향성은 I/O APIC가 발동되지 않은 상태에서는 scan ioapic 로직이 시작되지 않도록 해야 한다”고 제안했다.

이 두 가지 취약점에 대한 비공식 취약점은 리눅스 커널 메일링 리스트(Linux Kernel Mailing List, LKML) 아카이브에 공개되어 있는 상태다. 하지만 아직 ‘공식화’되거나 주류로 올라오지는 못한 상태다.

3줄 요약
1. 리눅스 커널 4.19.2 및 그 이하 버전에서 두 가지 중간급 위험도 취약점 발견됨.
2. 둘 다 로컬 공격 가능하게 해주는 것으로 디도스 상태 만들 수 있음.
3. 비공식 패치는 있으나 아직 공식 패치는 개발되고 있지 않은 상황.
[국제부 문가용 기자(globoan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)