스웨덴에서 기반을 두는 오픈 소스 VPN 인 Mullvad VPN 에서 CVE-2024-55884 심각한 보안 취약점이 발견되었습니다.
해당 Mullvad VPN 서비스는 극강의 투명성, 물리 서버,Wire Guard를 통한 빠른 속도,RAM 서버 구축을 통한 개인정보 보호, 멀티 홉,Tailscale 파트너쉽
트래픽 기록
DNS 요청 기록
연결이 이루어진 시각, 연결이 끊긴 시각, 연결유지시간 등 모든 종류의 타임스탬프를 포함한 연결 기록
IP 주소 기록
사용자 대역폭 기록
들은 저장 되지 않습니다.
아무튼, 개인적으로 두더지 VPN이라고 부르는 Mullvad VPN에 대한 CVE-2024-55884 심각한 보안 취약점입니다.
사이버 보안 회사인 X41 D-Sec GmbH는 Mullvad VPN 애플리케이션의 화이트박스 침투 테스트를 해서 심각으로 평가된 취약점 1개와 심각도 높음으로 평가된 2개를 포함하여 여러 가지 취약점이 발견되었습니다.
감사를 통해 신호 처리기 문제 및 설치 프로세스 중 사이드로딩 위험을 포함하여 심각도가 높은 취약점 세 가지가 발
취약점 중 하나인 MLLVD-CR-24-01(CVE-2024-55884)이며 신호 처리 부분에서 대한 대체 스택 크기가 부족하여 잠재적으로 메모리 손상을 가져올 수 있다는 것
코드 실행을 위한 악용은 사소한 일이 아닐 것으로 예상하지만, 대체 스택이 동시에 실행되는 프로세스의 힙과 충돌한다는 사실은 공격자가 올바른 컨텍스트에서 신호를 트리거할 수 있는 경우 악용을 가능하게 합니다. 조사 결과에도 X41 D-Sec GmbH는 Mullvad VPN 애플리케이션의 높은 보안 수준을 인정하며 전반적으로 Mullvad VPN 애플리케이션은 높은 보안 수준을 가진 것으로 보이며 제안된 위협 모델로부터 보호할 수 있는 좋은 위치에 있다고 함
2024년 10월 23일부터 11월 28일까지 X41 D-Sec GmbH는 Mullvad VPN 애플리케이션에 대해 화이트 박스 침투 테스트를 수행
테스트 대상:
데스크톱 버전 (Linux,macOS,Windows)
모바일 버전 (Android,iOS)
테스트 기간: 30일
취약점 총 6건 발견:
높음: 3건
중간: 2건
낮음: 1건
주요 취약점
1. 시그널 핸들러의 스택 크기 부족(MLLVD-CR-24-01, 위험도: 높음)
문제점:시그널 핸들러에 할당된 스택이 너무 작아 특정 신호(SIGFPE, SIGSEGV 등)가 발생하면 메모리 손상이 일어날 수 있음
시그널 스택이 힙 메모리와 겹치면서 다른 메모리 영역을 손상할 위험이 있음
원인:POSIX sigaltstack() 함수로 설정된 대체 스택 크기가 충분하지 않음
2. 비동기-안전하지 않은 함수 사용 (MLLVD-CR-24-02, 위험도: 높음)
문제점:신호 처리기에서 log와 같은 비동기-안전하지 않은 함수를 호출함
신호가 들어오는 동안 메모리 할당과 같은 작업이 중단되면 데드락이나 메모리 손상이 발생할 수 있음
원인: 비동기 신호 처리기에 복잡한 코드를 포함함
3.가상 IP 주소 누출 (MLLVD-CR-24-03, 위험도: 중간)
문제점: 네트워크 인접 공격자가 ARP 요청을 통해 Mullvad의 터널 가상 IP 주소를 추적할 수 있음
이를 통해 같은 사용자가 다른 시간대에 접속했는지를 확인할 수 있음
원인: Linux 및 Android 네트워크 스택에서 ARP 요청에 대해 부적절한 응답을 제공함
4. NAT를 통한 익명성 해제 (MLLVD-CR-24-04, 위험도: 중간)
문제점: 공격자가 UDP 패킷을 스푸핑하면 특정 Mullvad 서버와 사용자의 연결 여부를 확인할 수 있음
특히 WebRTC 나 HTTP/3과 같은 UDP 기반 프로토콜 사용 시 발생
원인: NAT 테이블의 소스 IP 및 포트 기록 방식으로 인해 공격자가 추적할 수 있음
5. MTU를 통한 익명성 해제 (MLLVD-CR-24-05, 위험도: 낮음)
문제점: MTU 값을 조작하면 패킷 크기의 변화를 통해 터널 사용자의 연결이 추적될 수 있음
원인: 터널 내 패킷 크기가 일정하지 않아 공격자가 상관관계를 추적 가능
6. 설치 과정 중 사이드로딩 (MLLVD-CR-24-06, 위험도: 높음)
문제점: Windows 설치 과정에서 신뢰할 수 없는 taskkill.exe를 실행할 수 있음
공격자가 같은 이름의 악성 파일을 사용자의 설치 폴더에 배치하면 실행될 위험이 있음
원인: 절대 경로 대신 상대 경로로 실행 파일을 호출
결론 해당 VPN을 사용하고 있으면 갱신을 통해서 문제 해결 가능
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료) (2) | 2024.12.17 |
|---|---|
| 북한 해킹 단체 김수키(Kimsuky)에서 만든 스피어 피싱으로 제작된 악성코드-열차9월10일원고(화)_4.bat(2024.12.02) (0) | 2024.12.17 |
| 워드프레스(WordPress) Hunk Companion WordPress 플러그인 취약점 악용한 플러그인 설치 (0) | 2024.12.16 |
| 일본 みずほ銀行(미즈호은행)피싱메일 간단 분석(2024.12.09) (0) | 2024.12.12 |
| 윈도우 10 KB5048652,윈도우 11 KB5048667 & KB5048685 보안 업데이트 (0) | 2024.12.11 |
| 대북 관계자를 타켓팅 하는 APT 37(Reaper,리퍼)에서 만든 악성코드-김X성강의자료.lnk(2024.12.06) (0) | 2024.12.09 |
| 북한 APT 김수키(Kimsuky)에서 만든 악성코드-system_first.ps1(2024.11.27) (0) | 2024.12.06 |
| APT 김수키(Kimsuky)에서 만든 악성코드-pay.bat(2024.11,27) (0) | 2024.12.05 |
