LockBit 랜섬웨어 그룹은 세계 최대 타이어 제조업체 중 하나인 Bridgestone Americas에 대한 사이버 공격을 성공했다고 주장했으며 훔친 모든 데이터를 유출할 것이라고 협박하였습니다. 👿

LockBit 랜섬웨어란 파일을 “.lockbit” 확장자를 가진 파일로 암호화하여 사용자의 접근을 제한하는 파일 암호화 랜섬웨어로 몸값을 대가로 요청하며 오늘날 가장 활발한 랜섬웨어 그룹 중 하나라고 해요.

3월 11일, LockBit이 Bridgestone에서 어떤 데이터를 훔쳤는지, 훔친 데이터가 회사에 얼마나 치명적인지는 불분명하기 때문에 사건의 전체 경위와 성격을 파악하기 위해 Accenture Security와 협력하고 있으며 도난당한 데이터가 무엇인지를 분석하고 있다고 밝혔습니다.

Linux 커널에서 임의 파일을 덮어쓸 수 있는 취약점의 세부 정보가 공개되었습니다. 해당 취약점은 CVE-2016-5195(Dirty Cow)와 유사하다는 점에서 Dirty Pipe로 명명되었습니다.

취약점은 잘못된 Unix 파이프 처리로 인해 발생합니다. 예제는 아래와 같습니다.

writer는 파일에 AAAAA를 쓰고, splicer는 splice함수를 사용해 해당 파일에서 파이프로 데이터를 전송한 뒤 파이프에 BBBBB를 씁니다. 이때 커널의 파이프 버퍼는 각각 페이지를 참조하는 struct pipe_buffer 링으로 구현되는데, 파이프에 대한 첫 번째 쓰기는 4KB의 페이지를 할당합니다. 첫 번째 쓰기에서 페이지를 완전히 채우지 않았다면 다음 쓰기가 새 페이지를 할당하는 대신 기존 페이지에 추가될 수 있습니다. 결과적으로 위 예제에서 파일에는 쓰인 적 없던 BBBBB 문자열이 파이프를 통해 쓰여지고 이는 프로세스 권한과 관계없이 발생하기 때문에 취약점을 악용하면 낮은 권한의 프로세스가 root 권한의 파일또한 수정할 수 있습니다.

또한 페이지 캐시는 항상 커널에서 쓰기 가능하고 파이프에 쓰는 것은 어떠한 권한도 확인하지 않기 때문에 변경 불가능 파일, 읽기 전용 btrfs 스냅샷 및 읽기 전용 마운트(CD-ROM 마운트 포함)에서도 취약점이 악용될 수 있습니다.

PoC는 링크 에서 확인할 수 있습니다.