안녕하세요 

오늘은 [보안취약점] XZ유틸즈에서 발견된 백도어 `CVE-2024-3094`  에 대해 알려드리려합니다. 

얼마전에 뉴스에 나오고 현재도 뉴스에서도 많이 나와 궁금해 하는 고객들이 많습니다.  

빠르게 설명드리겠습니다. ^^

뉴스 : XZ유틸즈에서 발견된 백도어, 오픈소스 커뮤니티를 침체시켜

Link : https://www.boannews.com/media/view.asp?idx=128442&kind=

-------------------

문제의 백도어가 임베드 되어 있던 곳은 liblzma라는 이름의 XZ 라이브러리였다. 공격자는 이 백도어를 통해 원격에서 안전 셸(sshd) 인증 과정을 회피할 수 있고, 그 후 피해자 시스템에 대한 완전 접근 권한을 갖게 된다. 처음 일각에서는 이 백도어가 취약점인 것으로 알려지기도 했으나 지금은 XZ유틸즈의 메인테이너 자격을 가진 누군가가 이 백도어 코드를 심은 것으로 의견이 굳어가고 있다. 

오픈소스 커뮤니티가 받은 충격

이 백도어의 영향 아래 있는 건 XZ유틸즈 중에서도 5.6.0 버전과 5.6.1 버전이다. 현재는 페도라, 데비안, 칼리, 수세, 아치라는 리눅스 배포판들의 언스테이블 및 베타 버전에서만 사용되는 버전들이다. 그렇기 때문에 이 백도어의 파급력은 생각만큼 대단하지는 않을 것으로 전망된다. 스테이블 버전의 리눅스 배포판들의 XZ유틸즈에 있었다면 훨씬 시급한 사태가 벌어졌을 것이라고 전문가들은 보고 있다. 즉 최악의 최악은 면했다는 게 전문가들 사이의 중론이라는 뜻이다.

최고 등급 취약점

페도라 리눅스의 가장 중요한 후원자이자 컨트리뷰터인 레드햇(Red Hat)은 문제가 된 백도어에 취약점 식별 번호를 부여했다. CVE-2024-3094였다. 그리고 CVSS 기준 10점 만점에 10점을 매겼다. 이 때문에 백도어가 취약점으로 오인받고 있기도 한데 레드햇은 “시급한 문제라 최대한 많은 이목을 끌기 위해 그랬다”고 한다. 여기에 CISA까지 합류해 레드햇과 같이 빠른 조치를 촉구했다. XZ유틸즈를 다운그레이드 하라는 것이었다. 본지도 주말과 월요일 세 건의 기사로 이 시급한 문제를 빠르게 알린 바 있다.

보안 업체 바이널리(Binarly)는 누구나 백도어가 심긴 XZ유틸즈가 존재하는지 확인할 수 있도록 무료 도구를 만들어 배포하기도 했다. 

이 도구는 여기(https://www.binarly.io/blog/xz-utils-supply-chain-puzzle-binarly-ships-free-scanner-for-cve-2024-3094-backdoor)서 다운로드가 가능하다. 

-------------------

Urgent security alert for Fedora Linux 40 and Fedora Rawhide users