인증서 처리 시 Mozilla NSS의 코드 실행 취약점

Mozilla에서 개발한 암호화 라이브러리의 NSS(네트워크 보안 서비스) 세트에서 심각한 취약점(CVE-2021-43527)이 확인되었습니다. 이는 다음을 사용하여 지정된 DSA 또는 RSA-PSS 디지털 서명을 처리할 때 공격자 코드를 실행할 수 있습니다. DER 인코딩 방법(고유 인코딩 규칙). 코드명 BigSig라는 이 문제는 NSS 3.73 및 NSS ESR 3.68.1에서 해결되었습니다. 배포판의 패키지 업데이트는 Debian, RHEL, Ubuntu, SUSE, Arch Linux, Gentoo, FreeBSD에서 사용할 수 있습니다. 아직 Fedora에 사용 가능한 업데이트가 없습니다.

이 문제는 NSS를 사용하여 CMS, S/MIME, PKCS #7 및 PKCS #12 디지털 서명을 처리하는 애플리케이션에서 발생하거나 TLS, X.509, OCSP 및 CRL 구현에서 인증서를 확인할 때 발생합니다. 취약점은 TLS, DTLS 및 S/MIME을 지원하는 다양한 클라이언트 및 서버 애플리케이션, 이메일 클라이언트 및 NSS CERT_VerifyCertificate() 호출을 사용하여 디지털 서명을 확인하는 PDF 뷰어에 나타날 수 있습니다.

LibreOffice, Evolution 및 Evince는 취약한 애플리케이션의 예로 언급됩니다. 잠재적으로 이 문제는 Pidgin, Apache OpenOffice, Suricata, Curl, Chrony, Red Hat Directory Server, Red Hat Certificate System, Apache http 서버용 mod_nss, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition과 같은 프로젝트에도 영향을 미칠 수 있습니다. 그러나 검증을 위해 NSS에도 포함된 별도의 mozilla::pkix 라이브러리를 사용하는 Firefox, Thunderbird 및 Tor 브라우저에서는 취약점이 나타나지 않습니다. 2015년까지 NSS를 사용했지만 이후 BoringSSL로 전환한 Chromium 기반 브라우저(NSS로 특별히 구축되지 않은 경우)도 이 문제의 영향을 받지 않습니다.

해당 취약점은 secvfy.c 파일의 vfy_CreateContext 함수에 있는 인증서 확인 코드 오류로 인해 발생합니다. 클라이언트가 서버에서 인증서를 읽을 때와 서버가 클라이언트 인증서를 처리할 때 모두 오류가 발생합니다. DER로 인코딩된 디지털 서명을 확인할 때 NSS는 서명을 고정 크기 버퍼로 디코딩하고 해당 버퍼를 PKCS #11 모듈에 전달합니다. 추가 처리 중에 DSA 및 RSA-PSS 서명에 대한 크기가 잘못 확인되어 디지털 서명의 크기가 16384비트를 초과하는 경우 VFYContextStr 구조에 할당된 버퍼의 오버플로가 발생합니다(2048바이트가 버퍼에 할당되지만 서명이 더 클 수 있는지는 확인되지 않습니다)).

취약점이 포함된 코드는 2003년까지 거슬러 올라갈 수 있지만 2012년 리팩토링이 수행될 때까지는 위협이 되지 않았습니다. 2017년에도 RSA-PSS 지원을 구현할 때 같은 실수가 있었습니다. 공격을 수행하기 위해 필요한 데이터를 얻기 위해 특정 키의 리소스 집약적인 생성이 필요하지 않습니다. 디지털 서명의 정확성을 확인하기 전 단계에서 오버플로가 발생하기 때문입니다. 경계를 넘는 데이터 부분은 함수에 대한 포인터가 포함된 메모리 영역에 기록되므로 작업 익스플로잇 생성이 단순화됩니다.

이 취약점은 Google Project Zero의 연구원들이 새로운 퍼징 테스트 방법을 실험하는 동안 발견했으며 널리 테스트된 잘 알려진 프로젝트에서 사소한 취약점이 어떻게 오랫동안 감지되지 않을 수 있는지를 잘 보여줍니다.

• NSS 코드는 최첨단 테스트 및 오류 분석 기술을 사용하여 숙련된 보안 팀에 의해 유지 관리됩니다. NSS의 취약점을 식별하면 상당한 보상을 제공하는 여러 프로그램이 마련되어 있습니다.
• NSS는 Google의 oss-fuzz 이니셔티브에 참여한 최초의 프로젝트 중 하나였으며 Mozilla의 libFuzzer 기반 퍼지 테스트 시스템에서도 테스트되었습니다.
• 라이브러리 코드는 2008년부터 Coverity 서비스에 의해 모니터링되는 것을 포함하여 다양한 정적 분석기에서 여러 번 확인되었습니다.
• 2015년까지 NSS는 Google Chrome에서 사용되었으며 Mozilla와는 별개로 Google 팀에서 독립적으로 검증되었습니다(2015년부터 Chrome은 BoringSSL로 전환했지만 NSS 기반 포트에 대한 지원은 그대로 유지됩니다).

문제가 오랫동안 감지되지 않은 주요 문제는 다음과 같습니다.

• NSS 모듈형 라이브러리와 퍼징 테스트는 전체적으로 수행되지 않고 개별 구성 요소 수준에서 수행되었습니다. 예를 들어, DER을 디코딩하고 인증서를 처리하는 코드는 별도로 검사되었습니다. 퍼징 중에 문제의 취약점을 발현시키는 인증서를 얻을 수 있었지만 해당 검사가 확인 코드에 도달하지 못했고 문제도 발생하지 않았습니다. 그 자체를 공개합니다.
• 퍼징 테스트 중에는 NSS에 유사한 제한이 없는 경우 출력 크기(10000바이트)에 엄격한 제한이 설정되었습니다(일반 모드의 많은 구조는 크기가 10000바이트를 초과할 수 있으므로 문제를 식별하려면 더 많은 입력 데이터가 필요함). . 전체 확인을 위해서는 제한이 224-1바이트(16MB)여야 하며 이는 TLS에서 허용되는 최대 인증서 크기에 해당합니다.
• 퍼즈 테스트 코드 적용 범위에 대한 오해. 취약한 코드를 적극적으로 테스트했지만 필요한 입력 데이터를 생성할 수 없는 퍼저를 사용했습니다. 예를 들어 fuzzer tls_server_target은 미리 정의된 기성 인증서 세트를 사용하여 인증서 확인 코드 확인을 TLS 메시지 및 프로토콜 상태 변경으로만 제한했습니다.

출처 : opennet.ru