[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-06-17)

내용 요약

Linux Kernel의 OverlayFS 서브시스템에서 발견된 권한 상승 취약점(CVE-2023-0386) 관련 보안 업데이트 권고입니다. nosuid 마운트에서 다른 마운트로 capability를 가진 setuid 파일을 복사하는 과정에서 발생하는 소유권 관리 문제로 인해, 로컬 사용자가 시스템 권한을 상승시킬 수 있습니다. 벤더의 지침에 따라 완화 조치를 적용하거나, 클라우드 서비스의 경우 BOD 22-01 지침을 따르고, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다.

핵심 포인트

• Linux Kernel OverlayFS의 권한 상승 취약점 (CVE-2023-0386) 발견
• 로컬 사용자의 권한 상승 가능성
• 벤더 지침에 따른 완화 조치, BOD 22-01 지침 준수 또는 제품 사용 중단 권고
• 취약점 발견일: 2023-03-86
• 권고 발표일: 2025-07-08 (완화 조치 적용 권고)
• 이전 권고 발표일: 2025-06-17 (취약점 공개)

기술 세부 내용

1️⃣ CVE-2023-0386: Linux Kernel Improper Ownership Management Vulnerability

• 취약점 설명: Linux Kernel의 OverlayFS 파일 시스템에서 nosuid 마운트에서 다른 마운트로 capability를 가진 setuid 파일을 복사하는 과정에서 소유권 관리가 제대로 이루어지지 않는 취약점입니다. OverlayFS는 여러 파일 시스템을 겹쳐서 하나의 파일 시스템처럼 보이게 하는 유니온 마운트 파일 시스템의 일종입니다. 이 취약점은 setuid 파일의 capability 속성이 의도치 않게 복사된 파일에 유지되면서, 권한이 없는 사용자가 root 권한으로 파일을 실행할 수 있게 합니다.
• 영향: 로컬 사용자가 시스템 권한을 상승시킬 수 있습니다. 공격자는 이 취약점을 악용하여 루트 권한을 획득하고 시스템을 완전히 제어할 수 있습니다.
• 취약한 버전: 취약한 Linux Kernel 버전은 명시되지 않았으므로, 사용 중인 Linux 배포판의 보안 공지 및 업데이트를 확인해야 합니다.
• 완화 방법:
  • 벤더에서 제공하는 패치 또는 업데이트를 적용합니다.
  • 클라우드 서비스를 사용하는 경우 BOD 22-01 지침을 준수합니다.
  • 완화 조치를 사용할 수 없는 경우 영향을 받는 제품 사용을 중단합니다.
• 기술적 세부사항: nosuid 옵션은 일반적으로 파일 시스템에서 setuid 및 setgid 비트의 효과를 무시하여 권한 상승을 방지하는 데 사용됩니다. 이 취약점은 OverlayFS가 nosuid 마운트에서 파일을 복사할 때 이러한 비트를 제대로 처리하지 못하여 발생합니다. 공격자는 이를 악용하여 setuid 파일을 nosuid 마운트에서 다른 마운트로 복사하고, 복사된 파일의 capability를 사용하여 root 권한으로 명령을 실행할 수 있습니다.
• 참고 자료: CVE 세부 정보는 CVE 데이터베이스 (cve.mitre.org) 및 배포판별 보안 공지를 참조하십시오.

2️⃣ BOD 22-01

• BOD 22-01은 클라우드 서비스 제공업체에 대한 연방 정부의 지침으로, 사이버 보안 위험을 완화하기 위한 정책 및 절차를 제공합니다. 이 문서는 클라우드 서비스의 보안 평가, 승인 및 모니터링에 대한 지침을 제공합니다. 이 뉴스에서 BOD 22-01을 언급하는 것은 클라우드 환경에서 이 취약점의 심각성을 강조하고, 연방 정부 기관 및 클라우드 서비스 제공업체가 이러한 지침을 따라 적절한 완화 조치를 취해야 함을 의미합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6502