[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-09-04)

내용 요약

Sitecore, Android Runtime, Linux 커널의 최근 보안 취약점(Deserialization, Use‑After‑Free, TOCTOU)으로 인해 원격 코드 실행, 로컬 권한 상승, 시스템 무결성 파괴가 가능해졌습니다. 각 제품은 공급업체 지침에 따라 패치를 적용하거나 BOD 22‑01 가이드를 따라 클라우드 서비스를 중지해야 합니다.

핵심 포인트

• Sitecore XM/XP/XC/Managed Cloud: 기본 ASP.NET 머신 키를 이용한 신뢰할 수 없는 데이터 역직렬화로 RCE 발생
• Android Runtime: Use‑After‑Free가 Chrome 샌드박스 탈출을 가능케 하여 로컬 권한 상승
• Linux Kernel: TOCTOU 레이스 조건이 기밀성·무결성·가용성에 높은 위험을 초래

기술 세부 내용

1️⃣ Sitecore CVE‑2025‑53690 – Deserialization of Untrusted Data

• 핵심 메커니즘
  1️⃣ Sitecore는 XML/JSON 데이터를 역직렬화할 때 기본 머신 키(machine key)를 사용합니다.
  2️⃣ 공격자는 이 키를 예측하거나 외부에서 제공된 서명된 데이터를 삽입해 역직렬화 과정을 조작합니다.
  3️⃣ 조작된 객체가 메모리에 로드되면 ASP.NET의 내부 메서드가 악의적으로 실행되어 RCE를 유발합니다.
• 취약점 영향
  • 완전한 원격 코드 실행 → 데이터 유출, 서비스 중단, 악성 코드 배포
• 완화 조치
  • 공급업체 가이드에 따라 새로운 머신 키를 생성하고 설정 파일에 반영
  • Sitecore.Security 모듈을 최신 버전으로 업데이트
  • BOD 22‑01에 따라 클라우드 서비스 사용 중단(패치 미적용 시)

2️⃣ Android Runtime CVE‑2025‑48543 – Use‑After‑Free

• 핵심 메커니즘
  1️⃣ Android Runtime은 특정 객체를 메모리에서 해제한 뒤, 아직 포인터가 남아 있는 상태를 발생시킵니다.
  2️⃣ 공격자는 이 Use‑After‑Free 상황을 활용해 Chrome 샌드박스를 탈출합니다.
  3️⃣ 샌드박스가 해제된 후, 악성 코드를 실행해 root 권한 또는 고급 권한을 획득합니다.
• 취약점 영향
  • 로컬 권한 상승 → 시스템 파일 변조, 개인정보 노출, 악성 서비스 실행
• 완화 조치
  • android-12.0 이상으로 업데이트 (패치 포함)
  • android.security API 활용해 객체 해제 시 포인터 무효화 강화
  • BOD 22‑01 가이드를 따라 서비스 중단(패치 미적용 시)

3️⃣ Linux Kernel CVE‑2025‑38352 – TOCTOU Race Condition

• 핵심 메커니즘
  1️⃣ 커널은 파일 메타데이터를 읽고(TOC) 그 후에 액세스 권한을 검사합니다.
  2️⃣ 공격자는 파일 소유자를 순간적으로 바꾸어(사용자 스위칭) TOCTOU 상황을 유발합니다.
  3️⃣ 권한 검사가 완료되기 전, 파일이 다른 사용자(또는 루트)에 의해 수정되면 무단 액세스가 발생합니다.
• 취약점 영향
  • 기밀성 손상, 무결성 파괴, 서비스 가용성 저하
• 완화 조치
  • 커널 패치 적용(patch-5.15.x 등 최신 버전)
  • 파일 접근 시 atomic operation(e.g., openat2 + fchmodat) 사용
  • BOD 22‑01에 따라 클라우드 환경에서 사용 중지 또는 패치 적용

핵심 메시지: 각 취약점은 공급업체가 제공한 패치와 BOD 22‑01 가이드를 따라 즉시 적용해야 하며, 패치가 제공되지 않은 경우 해당 제품 또는 서비스를 지속 사용 중단하는 것이 최선의 보안 방어입니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6578