Multi-License Discount Quote
위협 데이터베이스 Vulnerability CVE-2024-3094 취약점(XZ 백도어)

CVE-2024-3094 취약점(XZ 백도어)

Vulnerability, Backdoors년에 Mezo 년까지
번역 :
한국어

보안 분석가들은 최근 잠재적으로 파괴적인 영향을 미칠 수 있는 심각한 취약점을 발견했습니다. 긴급 보안 권고에 따르면 널리 사용되는 데이터 압축 도구인 XZ Utils(이전 LZMA Utils)의 두 버전이 악성 코드에 감염되었습니다. 이 코드를 사용하면 영향을 받는 시스템에 대한 무단 원격 액세스가 가능해집니다.

CVE-2024-3094로 식별된 이 보안 위반은 CVSS 점수 10.0으로 평가되어 심각도가 가장 높습니다. 이는 XZ Utils 버전 5.6.0(2024년 2월 24일 출시) 및 5.6.1(2024년 3월 9일 출시)에 영향을 미칩니다.

이 공격에는 liblzma 빌드 프로세스의 정교한 조작이 포함됩니다. 구체적으로, 사전 빌드된 개체 파일은 소스 코드 내의 위장된 테스트 파일에서 추출됩니다. 그런 다음 이 개체 파일은 liblzma 코드 내의 특정 기능을 변경하는 데 사용되어 손상을 지속시킵니다.

CVE-2024-3094 취약점으로 인해 공격자가 임의의 페이로드를 보낼 수 있음

위협적인 프로세스로 인해 이를 활용하는 모든 소프트웨어와의 데이터 상호 작용을 가로채고 변경할 수 있는 liblzma 라이브러리의 수정된 버전이 생성됩니다.

보다 정확하게는 라이브러리에 포함된 잘못된 코드가 systemd 소프트웨어 제품군을 통해 SSH(Secure Shell)의 구성 요소인 sshd 데몬 프로세스를 방해하도록 제작되었습니다. 이러한 조작은 잠재적으로 위협 행위자에게 SSHD 인증을 손상시키고 특정 조건이 충족되는 경우 원격으로 시스템에 불법적으로 액세스할 수 있는 능력을 부여합니다.

CVE-2024-3094에 의해 도입된 유해한 백도어의 궁극적인 목적은 피해를 입은 시스템에서 실행되는 OpenSSH 서버(SSHD)에 코드를 삽입하는 것입니다. 이를 통해 특정 개인 키를 소유한 특정 원격 공격자가 SSH를 통해 임의의 페이로드를 발송할 수 있습니다. 이러한 페이로드는 인증 단계 이전에 실행되어 피해를 입은 시스템 전체를 효과적으로 제어할 수 있습니다.

CVE-2024-3094 취약점은 사기 관련 공격자가 의도적으로 도입했을 가능성이 높습니다.

복잡하게 숨겨진 악성 코드는 Jia Tan(JiaT75)으로 식별된 사용자가 GitHub의 Tukaani 프로젝트에 대한 일련의 4번의 커밋을 통해 통합된 것으로 보입니다.

몇 주에 걸쳐 지속된 활동을 고려하면 커미터가 직접적으로 연루되었거나 시스템에 심각한 손상을 입힌 것으로 보입니다. 그러나 후자의 시나리오는 '수정'과 관련하여 다양한 포럼에 참여하고 있다는 점을 고려할 때 그럴듯해 보이지 않습니다.

현재 Microsoft가 소유하고 있는 GitHub는 GitHub의 서비스 약관 위반을 이유로 Tukaani 프로젝트에서 관리하는 XZ Utils 저장소를 비활성화하는 조치를 취했습니다. 현재로서는 야생에서 활발한 악용 사례가 보고된 바 없습니다.

조사에 따르면 이러한 손상된 패키지는 Fedora 41 및 Fedora Rawhide 배포판에서만 발견됩니다. Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux(RHEL), SUSE Linux Enterprise 및 Leap, Ubuntu 등의 기타 주요 배포판은 이 보안 문제의 영향을 받지 않습니다.

CVE-2024-3094 백도어 취약점 완화

Fedora Linux 40 사용자는 5.4 빌드로 되돌리라는 권고를 받았습니다. 또한 다음을 포함한 여러 다른 Linux 배포판이 공급망 공격의 영향을 받았습니다.

Arch Linux(설치 매체 2024.03.01, 가상 머신 이미지 20240301.218094 및 20240315.221711, 2024년 2월 24일부터 2024년 3월 28일 사이에 생성된 컨테이너 이미지)

  • Kali Linux(3월 26일부터 3월 29일까지)
  • openSUSE Tumbleweed 및 openSUSE MicroOS(3월 7일부터 3월 28일까지)
  • Debian 테스트, 불안정 및 실험적 버전(5.5.1alpha-0.1 ~ 5.6.1-1 범위)

이러한 발전으로 인해 미국 사이버보안 및 인프라 보안국(CISA)은 자체 경고를 발행하여 사용자에게 XZ Utils 5.4.6 Stable과 같이 XZ Utils를 손상의 영향을 받지 않는 버전으로 되돌리라고 권고했습니다.

트렌드

산 배경화면 브라우저 확장

잠재적으로 원하지 않는 프로그램, Browser Hijackers
Infosec 연구원들은 Mountain Wallpaper 브라우저 확장을 철저하게 분석하여 우려되는 사실을 발견했습니다. 유용할 것으로 추정되는 확장 프로그램은 침입적이고 원치 않는 소프트웨어의 일종인 브라우저 하이재커로 작동하는 것으로 밝혀졌습니다. Mountain Wallpaper의 주요 목적은 find.pmywebsrc.com으로 알려진 사기성...

Turla APT

Advanced Persistent Threat (APT), Malware
Pensive Ursa, Uroburos 및 Snake라고도 알려진 Turla는 러시아에서 시작된 정교한 APT(Advanced Persistant Threat)를 대표하며, 그 역사는 최소 2004년으로 거슬러 올라가며 러시아 연방 보안국(FSB)과 관련이 있는 것으로 알려져 있습니다. 표적화된 침입과 최첨단 스텔스 전술로 유명한 Turla는 은밀하고 은밀한 사이버 공격을 조율하는 데 뛰어난 기술적 능력을 보여주며 강력하고 포착하기 어려운 적으로 명성을 얻었습니다. 수년에 걸쳐 Turla는 정부 기관, 외교 사절단, 군사 시설은 물론 교육, 연구 및 제약 기관과 같은 다양한 부문에 침투하여 45개국 이상으로 범위를 확장했습니다. 또한 우크라이나 CERT의 보고서에 따르면 이 그룹은 2022년 2월에...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
74,257
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
59,201
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...