UDP 패킷 전송을 통해 악용되는 Toxcore의 버퍼 오버플로

Tox P2P 메시징 프로토콜의 참조 구현인 Toxcore에는 특수 제작된 UDP 패킷을 처리할 때 잠재적으로 코드 실행을 트리거할 수 있는 취약점(CVE-2021-44847)이 있습니다. UDP 전송이 비활성화되지 않은 Toxcore 기반 응용 프로그램의 모든 사용자는 이 취약점의 영향을 받습니다. 공격하려면 피해자의 IP 주소, 네트워크 포트 및 공개 DHT 키를 알고 UDP 패킷을 보내는 것으로 충분합니다(이 정보는 DHT에서 공개적으로 사용 가능합니다. 즉, 공격은 모든 사용자 또는 DHT 노드에서 수행될 수 있습니다).

이 문제는 toxcore 릴리스 0.1.9~0.2.12에서 발생했으며 버전 0.2.13에서 해결되었습니다. 클라이언트 애플리케이션 중에서 현재까지 qTox 프로젝트만이 취약점을 제거하는 업데이트를 출시했습니다. 보안 해결 방법으로 TCP 지원을 유지하면서 UDP를 비활성화할 수 있습니다.

이 취약점은 네트워크 패킷의 데이터 크기 계산이 잘못되어 발생하는 handler_request() 함수의 버퍼 오버플로로 인해 발생합니다. 구체적으로, 암호화된 데이터의 길이는 "1 + CRYPTO_PUBLIC_KEY_SIZE * 2 + CRYPTO_NONCE_SIZE"로 정의된 매크로 CRYPTO_SIZE에서 결정되었으며, 이후에 빼기 작업 "길이 - CRYPTO_SIZE"에 사용되었습니다. 매크로에 괄호가 없기 때문에 모든 값의 합을 빼는 대신 1을 빼고 나머지 부분을 더했습니다. 예를 들어 "길이 - (1 + 32 * 2 + 24)" 대신 버퍼 크기가 "길이 - 1 + 32 * 2 + 24"로 계산되어 버퍼 경계를 넘어 스택의 데이터를 덮어쓰게 되었습니다.

출처 : opennet.ru