<p>보안 부팅 우회의 영향을받는 수십억 개의 장치</p><p>“BootHole”버그는 사이버 공격자가 악성 코드를로드하고 정보를 훔치고 회사, OT, IoT 및 홈 네트워크로 측면으로 이동할 수 있도록합니다.</p><p>수십억 개의 Windows 및 Linux 장치가 GRUB2 부트 로더의 버그로 인한 사이버 공격에 취약하다고 연구원들은 경고합니다.</p><p>GRUB2 (GRand Unified Bootloader 버전 2를 나타냄)는 대다수 컴퓨팅 시스템의 기본 부트 로더입니다. 작업은 시작 프로세스의 일부를 관리하는 것입니다. 메뉴를 표시하고 사용자 입력을 기다리거나 제어를 운영 체제 커널로 자동 전송합니다.</p><p>보안 부팅은 신뢰할 수있는 소프트웨어 만 사용하여 장치가 부팅되도록하는 업계 표준입니다. 컴퓨터가 시작되면 펌웨어는 UEFI 펌웨어 드라이버, EFI 응용 프로그램 및 운영 체제의 서명을 확인합니다. 서명이 유효하면 컴퓨터가 부팅되고 펌웨어가 운영 체제를 제어합니다. Eclypsium 연구원에 따르면 CVE-2020-10713으로 추적 된 버그는 보안 부팅이 활성화되어 있고 서명 확인을 올바르게 수행하더라도 공격자가 이러한 보호 기능을 우회하여 부팅 프로세스 중에 임의의 코드를 실행할 수있게합니다.</p><p>Eclypsium에 의해 더빙 된 BootHole은 부팅 프로세스에 구멍을 뚫기 때문에 GRUB2가 GRUB2 구성 파일 (grub.cfg)의 내용을 Eclypsium에 따라 구문 분석하는 방식의 버퍼 오버 플로우 취약점입니다.</p><p>“GRUB2 설정 파일은 텍스트 파일이며 일반적으로 다른 파일 및 실행 파일과 같이 서명되지 않습니다.”라고 연구원 들은 수요일 발표 한 회사의 분석 에서 썼습니다 . 결과적으로 Secure Boot는이를 확인하지 않습니다. 따라서 공격자는 공격 코드를 포함하도록 GRUB2 구성 파일의 내용을 수정할 수 있습니다. 또한 운영 체제가로드되기 전에 해당 파일이로드되므로 공격 코드가 먼저 실행됩니다.</p><p>연구원들은“이러한 방식으로 공격자는 장치에 대한 지속성을 얻습니다.</p><p>기술적 인 측면에서 Red Hat은 grub.cfg 파일이 여러 문자열 토큰으로 구성되어 있다고 언급했습니다.</p><p>이 프로젝트는 수요일에 발표 된 권고 에서“시움이라고하는 초기 부트 로더가로드 한 직후 GRUB 초기화시 구성 파일이로드되고 구문 분석됩니다 . “파서 단계에서 구성 값은 메모리에 저장된 내부 버퍼로 복사됩니다. 내부 버퍼 크기보다 길이가 긴 구성 토큰으로 인해 버퍼 오버 플로우 문제가 발생합니다. 공격자는이 결함을 이용하여 임의의 코드를 실행하여 시스템의 부팅 프로세스를 더 가로 채고 보안 부팅 보호를 우회 할 수 있습니다. 결과적으로 서명되지 않은 이진 코드가로드 될 수있어 시스템의 무결성이 더욱 악화됩니다.”</p><p>분석에 따르면 공격자는 대상 시스템을“거의 완벽하게 제어”할 수 있습니다.“조직은 취약한 부트 로더를 사용하여 시스템을 감염 또는 손상시키는 위협 및 랜섬웨어가 있는지 시스템을 모니터링해야합니다.</p><p>이 버그는 심각도가 CVSS 8.2 인 심각도를 나타냅니다 (Red Hat은 심각도를 "보통"으로 간주하고 Microsoft 는 "중요"로 특성화 함 ). BootHole은이를 악용하려면 먼저 관리자 권한을 얻어야하므로 위험 등급을 피할 수 있습니다.</p><p>Red Hat에 따르면,“공격자는 물리적 액세스 권한 얻기, pxe-boot 네트워크 변경 권한 또는 루트 액세스 권한이있는 네트워크 시스템에 대한 원격 액세스 권한 등 시스템에 대한 액세스 권한을 먼저 설정해야합니다.</p><p>나쁜 소식은 GRUB2가 컴퓨팅 환경에서 거의 어디에나 존재한다는 것입니다.</p><p>연구원들은“이 취약점은 대부분의 Linux 시스템에서 사용하는 GRUB2 부트 로더에 있습니다. "문제는 표준 Microsoft 타사 UEFI 인증 기관과 함께 보안 부팅을 사용하는 모든 Windows 장치에도 적용됩니다."</p><p>또한 대다수의 컴퓨터 (노트북, 데스크탑, 서버 및 워크 스테이션)는 취약하며이 취약점은 네트워크 어플라이언스, 의료, 금융 및 기타 업종별 전용 장비, IoT (Internet-of-things) 장치 및 산업 환경의 운영 기술 (OT) 및 SCADA 장비. 전체적으로 수십억 개의 장치가 취약합니다.</p><p>Eclypsium에 따르면 간단한 패치 나 펌웨어 업데이트로 문제를 해결할 수는 없습니다.</p><p>연구원들은“완료는 복잡하고 위험 할 수 있으며 특정 취약한 프로그램에 서명하고 배포해야하며, 공격자가 이전의 취약한 버전을 공격에 사용하지 못하도록 취약한 프로그램을 취소해야합니다. "3 단계 완화 프로세스는 조직이 패치를 완료하는 데 몇 년이 걸릴 것입니다."</p><p>공급 업체 측에서이 수정 프로그램을 사용하려면 모든 Linux 버전의 새 설치 프로그램 및 부트 로더와 Microsoft 공급 업체의 서명이 필요한 새 공급 업체의 "심"(앞서 언급 한 1 단계 부트 로더)을 릴리스해야합니다. 파티 UEFI 인증 기관, Eclypsium 경고. 또한 공장 수준에서 GRUB2에 직접 서명하는 하드웨어에 자체 키를 제공하는 하드웨어 제조업체는 업데이트를 제공하고 취약한 GRUB2 버전을 취소해야합니다.</p><p>연구원들은“영향을받는 모든 버전이 [Secure Boot Revocation list (일명 dbx)]에 추가 될 때까지 취약한 shim 및 GRUB2 버전을 사용하여 시스템을 공격 할 수 있다는 점에 주목해야합니다. "이는 Microsoft 타사 UEFI CA를 신뢰하는 모든 장치가 해당 기간 동안 취약하다는 것을 의미합니다."</p><p>Eclypsium은 Microsoft, UEFI 보안 대응 팀 (USRT), Oracle, Red Hat (Fedora 및 RHEL), Canonical (Ubuntu), SuSE (SLES 및 openSUSE)를 포함하여 영향을받는 공급 업체 및 Linux 배포판과 함께 BootHole의 책임있는 공개를 조정했습니다. 데비안, 시트릭스, VM웨어, 발행 한 여러 가지있는 다양한 OEM 업체와 소프트웨어 업체, 자신의 권고를 .</p><p>Eclypsium에 따르면 Microsoft는 취약한 GRUB2 버전을로드하는 데 사용할 수있는 심을 차단하기 위해 시스템에 적용될 수있는 서명 된 dbx 업데이트 세트를 발표 할 예정입니다.</p><p>“브릭 시스템의 위험이나 운영 또는 복구 워크 플로우 중단의 위험으로 인해 이해 당사자가 해지 항목을 푸시하고 자동으로 적용하지 않고 시스템에 수동으로 적용 할 수있는 dbx 업데이트가 처음에 제공 될 것입니다. "조직은 또한 시스템에서 UEFI 부트 로더 및 펌웨어를 모니터링하고 해지 목록을 포함한 UEFI 구성을 확인하는 데 적합한 기능을 갖추고 있는지 확인해야합니다."</p><p>조직은 또한“공장 기본값으로 재설정”기능을 포함하여 장치 복구 기능을 테스트하여 장치가 업데이트에 부정적인 영향을받는 경우 복구 할 수 있도록해야합니다.</p><p><br><br></p>
<!-- -->
