오픈SSL 보안취약점

   

   

오픈SSL(OpenSSL) 허트블리드(heartbleed) 취약점에 노출된 제품 및 사이트가 지속적으로 증가 하고 있는 상황 에서

각 보안업체에서 이를 지속적으로 업데이트 작업을 통해 진행 하는 가운데 있지만

해당 사이트가 공격자에 의해 취약점을 악용 당했는지 여부는 알기 어렵다는 새로운 문제가 대두되고 있다.

   

원격에서 발생 가능한 취약점으로, 공격자는 메시지 길이 정보가 변조된 HeartBeat Request 패킷을 취약한 OpenSSL 버전을 사용하는 서버에 전송할 경우,

정해진 버퍼 밖의 데이터를 공격자에게 전송하게 되어 시스템 메모리에 저장된 개인정보 및 인증 정보 등을 탈취할 수 있게 되어진다.

   

   

OpenSSL 취약성 정보

• 시스템 메모리 정보 노출 취약점
  • CVE-2014-0160 (2014.04.07.)
• 영향 받는 버전
  • OpenSSL 1.0.1 ~ OpenSSL 1.0.1f
  • OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1
• 영향 받는 시스템 및 소프트웨어
  • 취약한 OpenSSL 버전이 탑재된 시스템
    • 서버(웹서버, VPN 서버 등), 네트워크 장비, 모바일 단말 등 다양한 시스템이 해당될 수 있음
  • 취약한 OpenSSL 라이브러리가 내장된 소프트웨어 제품
• 영향 받지 않는 소프트웨어
  • OpenSSL 0.9.x 대 버전
  • OpenSSL 1.0.0 대 버전
  • OpenSSL 1.0.1g

     

  안드로이드 의 경우 4.1.0 및 4.1.1로 운영되는 기기들이 위 공격에 취약하지만 4.2 이상 버전에서는 허트비트 확장모듈이 사용되지 않아 괜찮을 것으로 보여진다.

     

  이 취약점에 대한 개념검증(proof-of-concept) 코드가 Github에 올라와 있어 ,http://filippo.io/Heartbleed/ 에서

  자신이 운영하는 웹서버가 취약한지 여부를 확인할 수 있지만 확인하는 순간 해당 웹사이트 운영자에게 자신의 개인키를 내어줄 수 있어 이 또한 문제가 될 수 있다.

  
  

  해당 취약점이 얼마나 악용되었는지 확인 할수 있는 방법이 없기에 해당 취약점을 업데이트 하고 기존 인증서를 폐기하고 새로 발급받는 것을 권하지만

  얼마나 많은 사람들이 인증서를 새로 발급받을지는 의문인 상태

  오픈SSL은 현재 전세계 웹사이트의 약 2/3 에서 이용되고 있어 개인 패스워드 변경 및 인증서를 새로 발급 받는 것이 중요할거 같다.

  
  

이와관련 하여 KISA에 등록된 보안공지 내용을 참고하는 것도 좋을거 같아 아래 링크를 걸어둡니다. 

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20884