XZ Utils 백도어
1. 개요
XZ Utils 백도어는 XZ Utils 소프트웨어 패키지 5.6.0 및 5.6.1 릴리스에 삽입된 악성 코드로, SSH 서버의 보안을 훼손하여 원격 시스템에 대한 무단 접근을 가능하게 하는 백도어이다. 마이크로소프트 직원이자 PostgreSQL 개발자인 안드레스 프로인트에 의해 발견되었으며, Jia Tan이라는 사용자가 약 3년 동안 소셜 계정 조작을 통해 XZ Utils 프로젝트의 신뢰를 얻어 백도어를 삽입했다. 이 백도어는 오픈SSH의 RSA_public_decrypt 함수를 변조하여 작동하며, 시스템d 라이브러리를 악용하여 공격자가 인증된 관리자와 동일한 권한을 얻도록 설계되었다. 백도어 발견 이후, 여러 리눅스 배포판에서 업데이트를 취소하고 이전 버전으로 롤백했으며, 보안 연구원들은 이 백도어가 러시아의 APT29와 유사한 방식으로 작동한다고 분석했다.
이미지 준비중입니다.
| CVE | CVE-2024-3094 |
|---|---|
| 발견 시점 | 2024년 3월 27일 이전 |
| 공개 시점 | 2024년 3월 29일 |
| 패치 시점 | 2024년 3월 29일 |
| 발견자 | 안드레스 프런드 |
| 영향 받는 하드웨어 | 해당 없음 |
| 영향 받는 소프트웨어 | xz / liblzma 라이브러리 |
| 사용처 | 해당 없음 |
| 웹사이트 | XZ Utils 백도어 |
-
2024년 컴퓨팅 -
2024년 크라우드스트라이크 사고
2024년 크라우드스트라이크 사고는 보안 소프트웨어 결함과 드라이버 업데이트 오류로 발생한 광범위한 시스템 중단 사태로, 전 세계 다양한 분야에서 서비스 지연, 시스템 충돌, 데이터 접근 제한 등의 피해를 야기하며 "역사상 가장 큰 IT 중단"으로 평가받고 있다. -
트로이 목마 -
트로이 목마 (컴퓨팅)
겉으로는 정상적인 프로그램으로 위장하여 시스템에 침투해 악성 행위를 하는 트로이 목마는 시스템 손상, 정보 탈취, 자원 악용 등 다양한 피해를 유발하는 악성코드의 일종이며, 정부에서 사용하는 스파이웨어 형태도 존재하여 개인 정보 침해 논란을 야기한다. -
트로이 목마 -
원격 관리 도구
원격 관리 도구는 원격 시스템을 제어하고 감시하는 소프트웨어로, 악성 소프트웨어인 RAT나 트로이 목마 형태로 존재하며, 백 오리피스, NetBus, PoisonIvy, DarkComet 등이 있다. -
2020년대 해킹 -
그랜드 테프트 오토 VI
-
2020년대 해킹 -
어나니머스 (그룹)
어나니머스는 특정 집단을 지칭하지 않는 온라인 해커 및 행동주의자 연합체로, 인터넷 검열 반대와 사회 정의 실현 등의 이슈에 관여하며 해킹, 디도스 공격, 정보 공개 등의 활동을 펼치는 단체이다.
2. 배경
마이크로소프트 직원이자 PostgreSQL 개발자인 안드레스 프로인트는 데비안 Sid의 성능 회귀를 조사하던 중 이 백도어를 발견했다. 프로인트는 SSH 연결 시 CPU 사용량이 비정상적으로 높고, 메모리 디버깅 도구인 Valgrind에서 오류가 발생하는 것을 발견했다. 그는 이 발견을 오픈월 프로젝트의 오픈 소스 보안 메일링 리스트에 보고했고, 이는 여러 소프트웨어 공급업체의 관심을 끌었다. 백도어는 여러 단계로 실행되도록 구성된 난독화를 통해 숨겨져 있었다.
3. 작동 방식
XZ Utils 5.6.0 및 5.6.1 릴리스에는 백도어가 삽입되어 있다. 제3자 패치가 적용되지 않은 SSH 서버에서는 익스플로잇이 작동하지 않지만, 대부분의 리눅스 배포판에 적용된 패치로 인해 악의적인 행위자가 SSHD 인증을 깨고 원격으로 전체 시스템에 무단 액세스할 수 있다.
악성 코드는 두 개의 압축된 테스트 파일 형태로, glibc의 IFUNC 메커니즘을 사용하여 오픈SSH의 RSA_public_decrypt 함수를 악성 코드로 대체한다. 이 파일들은 깃 저장소에는 존재하지만, 압축 해제 후 프로그램에 삽입되기 전까지는 작동하지 않는다.
OpenSSH는 일반적으로 liblzma를 로드하지 않지만, 여러 Linux 배포판에서 사용하는 패치로 인해 libsystemd가 로드되고, 이는 다시 lzma를 로드한다. 깃허브에 업로드된 릴리스 tar 파일에 포함된 수정된 build-to-host.m4 파일은 liblzma에 백도어 주입을 수행하는 스크립트를 압축 해제한다. 이 수정된 m4 파일은 git 저장소에는 없으며, git과 별도로 관리자가 릴리스한 tar 파일에만 존재한다.
백도어 주입 스크립트는 시스템이 glibc 및 GCC를 사용하고, dpkg 또는 rpm 기반 x86-64 Linux 시스템인 경우에만 작동한다.
4. 공격 주체 및 배후
Jia Tan이라는 이름과 JiaT75라는 아이디를 사용하는 사용자가 약 3년 동안 프로젝트 내에서 신뢰를 얻기 위해 노력한 결과 백도어가 삽입되었다. 창립자와 유지관리자가 다른 새로운 참가자에게 프로젝트 제어권을 넘겨야 한다는 압력을 받은 후, Jia Tan은 XZ Utils의 공동 유지관리자 지위를 얻었고, 백도어가 삽입된 5.6.0 버전과 5.6.1 버전을 배포할 수 있었다.
이 백도어는 그 정교함과 공격자가 신뢰를 얻기 위해 오랜 시간 동안 높은 수준의 운영 보안을 실천했다는 점에서 주목받았다. 미국의 보안 연구원 Dave Aitel은 이것이 러시아 대외정보국의 지시를 받으며 활동하는 것으로 여겨지는 지능형 지속 공격단체인 APT29(코지 베어)의 행동 양식과 유사하다고 말했다. 저널리스트 토마스 클라번은 상당한 자원을 가진 국가 행위자 또는 비국가 행위자일 수 있다고 제안했다.
5. 반응
사이버보안 및 인프라 보안국은 영향을 받는 장치를 백도어가 삽입되지 않은 이전 버전으로 롤백해야 한다는 보안 권고를 발표했다. 레드햇, 수세, 데비안을 포함한 리눅스 소프트웨어 공급업체들은 이 권고에 따라 영향을 받는 패키지에 대해 업데이트를 취소하고 이전 버전으로 되돌렸다. 깃허브는 xz 소스 코드 저장소 미러를 비활성화했다가 다시 복원했다.
캐노니컬은 우분투 24.04 LTS 및 해당 배포판의 베타 릴리스를 일주일 연기하고 모든 배포판 패키지의 완전한 바이너리 재구축을 선택했다. 우분투의 안정적인 버전은 영향을 받지 않았지만 업스트림 버전은 영향을 받았다. 캐노니컬은 원래 릴리스 기한까지 발견된 백도어가 컴파일 중에 추가 패키지에 영향을 미치지 않는다고 보장할 수 없었기 때문에 이 예방 조치를 취했다. 2024년 5월 30일, 백도어가 제거된 버전 5.6.2가 공개되었다.
센티넬원의 알렉스 스타모스는 "이것은 모든 소프트웨어 제품에 설치된 백도어 중 가장 광범위하고 효과적인 백도어일 수 있었다"라고 했으며, 백도어가 탐지되지 않은 채로 남아 있었다면 "백도어 제작자에게 SSH를 실행하는 전 세계 수억 대의 컴퓨터에 대한 마스터 키를 제공했을 것"이라고 말했다. 또한 이 사건은 사이버 인프라의 중요한 부분을 무급 자원봉사자에게 의존시키는 문제에 대한 논의를 촉발시켰다.
5.1. 백도어 대응 패치
사이버보안 및 인프라 보안국은 영향을 받는 장치가 백도어가 삽입되지 않은 이전 버전으로 롤백해야 한다는 보안 권고를 발표했다. 레드햇, 수세, 데비안을 포함한 리눅스 소프트웨어 공급업체들은 이 권고에 따라 영향을 받는 패키지에 대해 업데이트를 취소하고 이전 버전으로 되돌렸다. 깃허브는 xz 소스 코드 저장소 미러를 비활성화했다가 다시 복원했다.
캐노니컬은 우분투 24.04 LTS 및 해당 배포판의 베타 릴리스를 일주일 연기하고 모든 배포판 패키지의 완전한 바이너리 재구축을 선택했다. 우분투의 안정적인 버전은 영향을 받지 않았지만 업스트림 버전은 영향을 받았다. 캐노니컬은 원래 릴리스 기한까지 발견된 백도어가 컴파일 중에 추가 패키지에 영향을 미치지 않는다고 보장할 수 없었기 때문에 이 예방 조치를 취했다.
2024년 5월 30일, 백도어가 제거된 버전 5.6.2가 공개되었다.
5.2. 업계 반응
센티넬원의 알렉스 스타모스는 "이것은 모든 소프트웨어 제품에 설치된 백도어 중 가장 광범위하고 효과적인 백도어일 수 있었다"라고 했으며, 백도어가 탐지되지 않은 채로 남아 있었다면 "백도어 제작자에게 SSH를 실행하는 전 세계 수억 대의 컴퓨터에 대한 마스터 키를 제공했을 것"이라고 말했다. 또한 이 사건은 사이버 인프라의 중요한 부분을 무급 자원봉사자에게 의존시키는 문제에 대한 논의를 촉발시켰다.
6. 시사점
(이전 출력이 비어 있으므로, 수정할 내용이 없습니다. 원본 소스와 요약이 제공되면 다시 시도해주세요.)