Claroty์ JFrog์ ์ฐ๊ตฌ์๋ค์ ์๋ฒ ๋๋ ์ฅ์น์ ๋๋ฆฌ ์ฌ์ฉ๋๊ณ ๋จ์ผ ์คํ ํ์ผ์ ํจํค์ง๋ ํ์ค UNIX ์ ํธ๋ฆฌํฐ ์ธํธ๋ฅผ ์ ๊ณตํ๋ BusyBox ํจํค์ง์ ๋ณด์ ๊ฐ์ฌ ๊ฒฐ๊ณผ๋ฅผ ๋ฐํํ์ต๋๋ค. ์ค์บ ์ค์ 14๊ฐ์ ์ทจ์ฝ์ ์ด ์๋ณ๋์์ผ๋ฉฐ ์ด๋ BusyBox 1.34์ XNUMX์ ๋ฆด๋ฆฌ์ค์์ ์ด๋ฏธ ์์ ๋์์ต๋๋ค. ๊ฑฐ์ ๋ชจ๋ ๋ฌธ์ ๋ ์ธ๋ถ์์ ๋ฐ์ ์ธ์๋ฅผ ์ฌ์ฉํ์ฌ ์ ํธ๋ฆฌํฐ๋ฅผ ์คํํด์ผ ํ๊ธฐ ๋๋ฌธ์ ์ค์ ๊ณต๊ฒฉ์์ ์ฌ์ฉํ๋ ๊ด์ ์์ ๋ณผ ๋ ๋ฌดํดํ๊ณ ์์ฌ์ค๋ฝ์ต๋๋ค.
๋ณ๋์ ์ทจ์ฝ์ ์ CVE-2021-42374์ ๋๋ค. ์ด ์ทจ์ฝ์ ์ unlzma ์ ํธ๋ฆฌํฐ๋ฅผ ์ฌ์ฉํ์ฌ ํน๋ณํ ์ค๊ณ๋ ์์ถ ํ์ผ์ ์ฒ๋ฆฌํ ๋, ๊ทธ๋ฆฌ๊ณ CONFIG_FEATURE_SEAMLESS_LZMA ์ต์ ์ ์ฌ์ฉํ์ฌ ์ด์ ๋ธ๋ฆฌํ๋ ๊ฒฝ์ฐ, ๋ค์์ ํฌํจํ ๋ค๋ฅธ BusyBox ๊ตฌ์ฑ ์์์ ํจ๊ป ์๋น์ค ๊ฑฐ๋ถ๋ฅผ ์ ๋ฐํ ์ ์์ต๋๋ค. tar, unzip, rpm, dpkg, lzma ๋ฐ man .
์ทจ์ฝ์ CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ๋ฐ CVE-2021-42377์ ์๋น์ค ๊ฑฐ๋ถ๋ฅผ ์ ๋ฐํ ์ ์์ง๋ง ๊ณต๊ฒฉ์๊ฐ ์ง์ ํ ๋งค๊ฐ๋ณ์๋ฅผ ์ฌ์ฉํ์ฌ man, ash ๋ฐ hush ์ ํธ๋ฆฌํฐ๋ฅผ ์คํํด์ผ ํฉ๋๋ค. ์ทจ์ฝ์ CVE-2021-42378~CVE-2021-42386์ awk ์ ํธ๋ฆฌํฐ์ ์ํฅ์ ๋ฏธ์น๊ณ ์ ์ฌ์ ์ผ๋ก ์ฝ๋ ์คํ์ผ๋ก ์ด์ด์ง ์ ์์ง๋ง ์ด๋ฅผ ์ํด ๊ณต๊ฒฉ์๋ ํน์ ํจํด์ด awk์์ ์คํ๋๋์ง ํ์ธํด์ผ ํฉ๋๋ค(์์ ๋ ๋ฐ์ดํฐ๋ก awk๋ฅผ ์คํํด์ผ ํจ) ๊ณต๊ฒฉ์๋ก๋ถํฐ).
๋ํ gethostbyname(), getaddrinfo(), gethostbyaddr() ๋ฐ getnameinfo() ํจ์์ ์ก์ธ์คํ ๋ ๋๋ฉ์ธ ์ด๋ฆ์ ํ์ธ๋์ง ์๊ณ DNS ์๋ฒ์์ ๋ฐํ๋ ์ ๋ฆฌ๋ ์ด๋ฆ์
๋๋ค. ์๋ฅผ ๋ค์ด ํน์ ํ์ธ ์์ฒญ์ ๋ํ ์๋ต์ผ๋ก ๊ณต๊ฒฉ์๊ฐ ์ ์ดํ๋ โโDNS ์๋ฒ๋ ๋ค์๊ณผ ๊ฐ์ ํธ์คํธ๋ฅผ ๋ฐํํ ์ ์์ต๋๋ค. alert(โxssโ) .attacker.com"์ด๋ฉฐ ์ด๋ฅผ ์ ๋ฆฌํ์ง ์๊ณ ์น ์ธํฐํ์ด์ค์ ํ์ํ ์ ์๋ ์ผ๋ถ ํ๋ก๊ทธ๋จ์ ๋ณ๊ฒฝ ์์ด ๋ฐํ๋ฉ๋๋ค. ์ด ๋ฌธ์ ๋ uclibc-ng 2021 ๋ฆด๋ฆฌ์ค์์ Glibc์ ์ ์ฌํ๊ฒ ๊ตฌํ๋ ๋ฐํ๋ ๋๋ฉ์ธ ์ด๋ฆ์ ์ ํ์ฑ์ ํ์ธํ๋ ์ฝ๋๋ฅผ ์ถ๊ฐํ์ฌ ์์ ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru