Skip to content

보안공지

Bash에서 발견된 Shellshock 취약점 주의!

트렌드마이크로 Deep Security, Shellshock 취약점을 가진 패치 되지 않은 서버 보호

등록일: 2014-09-26

트렌드마이크로 Deep Security가 이번에 발생한 Shellshock 취약점을 가진 패치되지 않은 서버를 보호할 수 있는 룰이 있다는 것을 알려 드립니다.

취약점이 있는 소프트웨어의 공식 패치를 적용하는 것이 근본적인 해결책이지만 여러 가지 운영 상의 제약으로 바로 패치를 적용하기 어려워 취약점이 그대로 노출되는 기간이 생깁니다. Deep Security의 가상 패치 기능이 정식 패치가 적용되기 전까지 서버를 취약점으로부터 보호합니다.

취약점 요점
광범위한 영향을 미치는 취약점이 공개되었습니다. Shellshock(CVE-2014-6271, CVE-2014-7169)으로 알려진 이 취약점은 Bash라는 셸 프로그램에서 발생한 취약점입니다. 이 Bash 셸 프로그램은 광범위한 OS에서 사용되는데 Unix, Linux, Max OS X, 약간의 Windows 개발서버 그리고 Android에서까지 사용됩니다. 이 취약점을 이용하여 공격자가 서버에 접속하지 않고 원격에서 임의의 악성코드를 실행시킬 수 있으며 이로 인해 OS, 중요 데이터가 공격자의 손에 넘어갈 수 있거나 또는 또다른 공격의 발판으로 사용 될 수 있습니다.

NIST는 이 취약점을 10(총 10점)의 위험 강도 점수를 부여하였으며 그 이유는 다음과 같습니다.
1. 일반적이고 널리 퍼져 있다.
2. 쉽게 공격 할 수 있다.
3. BASH CGI script를 사용하는 웹서버를 공략한다면 로그인 없이 공격 할 수 있다.

최근의 Heartbleed 취약점과 다르게 이번 취약점은 더욱 일반적이고 쉽게 접근 가능하여 기업과 조직에 더 큰 위험이 됩니다.

영향 범위
Bash 셸이 포함된 서버, PC 또는 장비를 사용하는 모든 조직과 사용자는 영향 범위가 될 수 있습니다. 이것은 500만 개가 넘는 인터넷 상의 웹 서버를 포함하며 또한 취약점에 영향을 받은 웹서버를 이용하는 모든 사용자들을 포함합니다. 부연 설명을 하자면 취약점의 영향을 받은 웹사이트나 서비스를 접속하는 모든 사용자들은 그들의 개인/업무 정보를 공격자의 손에 넘기게 될 수 도 있습니다.

고객의 조치 사항
이것은 바로 조치되어야 할 매우 위험한 취약점입니다. 그러나 어려운 점은 이 취약점을 보완하기 위해 수많은 패치가 생성되어야 하고 배포되어야 한다는 점입니다. 예를 들면 bash를 사용하는 각각의 Linux distro는 각각 패치를 생성하여야 하고 이 부분은 바로 패치를 생성하기에 어렵게 합니다. 그리고 리눅스 OS를 변형하여 사용하는 많은 장비(예: 라우터, 의료기기)들은 쉽게 패치될 수 없을 것입니다.

트렌드마이크로가 기업/기관 담당자 분들께 드리는 핵심적인 추천 사항
1. Bash 셸을 최신 버전으로 업그레이드 하십시오. Apache CGI 기능 등 리모트 콜을 통해 bash 스크립트가 수행되는 환경 이라면 SSH key를 변경함으로 서버가 침해당하지 않도록 조치하십시오. 서버의 credentials을 변경하고 database의 로그를 보아 대용량의 data를 가져가는 쿼리가 수행되고 있는지 확인하십시오.

2. 이 취약점에 의해 침해를 당했는지 확인하십시오. 웹서버의 로그를 유심히 보십시오. 많은 경우 이 취약점을 이용한 공격을 찾아 낼 수 있습니다. () { 를 access logs에서 찾아보십시오. 그리고 어떤 에러가 있는 지도 확인하십시오. 그러나 공격자 로그를 변조하여 아무 흔적도 없을 수 있습니다. 트렌드마이크로 Deep Security 의 로그 감사 기능을 통해 로그를 수집 및 중앙관리하여 공격자의 로그 변조 또한 알아 낼 수 있습니다.

3. 최신 업데이트된 IPS를 취약점이 있는 시스템이 패치가 될 때까지 사용하십시오.

트렌드마이크로의 고객 지원 사항
트렌드마이크로는 고객들이 Shellshock 취약점으로부터 즉시 도울 수 있는 방법을 소개합니다.

- 트렌드마이크로 Deep Security는 가상 패치 기능을 통해 취약점이 있는 서버가 패치가 될 때까지 서버를 취약점으로부터 보호합니다. 기존의 고객이라면 간단히 새로운 룰(DSRU14-028)을 적용하십시오. 현재 트렌드마이크로 업데이트 서버에 준비 되어있으니 바로 다운로드 가능합니다.

- 트렌드마이크로 Deep Discovery는 네트웍을 모니터링하여 이 취약점을 이용해 공격하는 트래픽을 Shellshock http request로 탐지하여 사용자의 시스템에 대한 공격을 탐지합니다.

더 많은 정보
· SimplySecurity Blog: http://blog.trendmicro.com/bash-shellshock-vulnerability/
· Security Intelligence Blog: http://blog.trendmicro.com/trendlabs-security-intelligence/shell-attack-on-your-server-bash-bug-cve-2014-7169-and-cve-2014-6271/
· Security Intelligence Blog: http://blog.trendmicro.com/trendlabs-security-intelligence/bash-vulnerability-shellshock-exploit-emerges-in-the-wild-leads-to-flooder/
· Threat Encyclopedia: http://about-threats.trendmicro.com/us/vulnerability/6033/Bash%20Bug%20Vulnerability%20Shellshock
· Trend Micro: http://www.trendmicro.com/shellshock

자세한 문의 사항은 support@trendmicro.co.kr로 연락 주십시오.


Connect with KR on