주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : automountd 서비스 데몬의 실행 여부 점검
○ 점검목적 : 로컬 공격자가 automountd 데몬에 RPC(Remote Procedure Call)를 보낼 수 있는 취약점이 존재하기 때문에 해당 서비스가 실행중일 경우 서비스를 중지
○ 보안위협 : 파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행 가능
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : automountd 서비스가 비활성화 되어 있는 경우
- 취약 : automountd 서비스가 활성화 되어 있는 경우
■ 점검방법
○ LINUX, AIX, HP-UX, SOLARIS(5.9 이하 버전)
automountd 서비스 데몬 확인(automountd 동작 SID 확인)
ps -ef | grep automount(or autofs)
root 1131 1 0 jun 15 ? 32:11 /usr/sbin/automountd
○ SOLARIS(5.10 이하 버전)
automount 서비스 데몬 확인
#svcs -a | grep “autofs”
※ “automount” 서비스가 활성화된 경우 조치방안에 따라 서비스 데몬을 중지한다.
■ 조치방안
○ LINUX, AIX, SOLARIS(5.9 이하 버전)
1. NFS 서비스 데몬 중지
#kill -9 [PID]
2. 시동 스크립트 삭제 또는, 스크립트 이름 변경
automountd 서비스 데몬 중지
#kill -9 [PID]
○ HP-UX
시동 스크립트 삭제 또는, 스크립트 이름 변경
ㆍ위치 확인
#ls -al /etc/rc.d/rc*.d/* | grep automount(or autofs)
ㆍ이름 변경
#mv /etc/rc.d/rc2.d/S28automountd /etc/rc.d/rc2.d/_S28automountd
○ SOLARIS(5.10 이상 버전)
1. autofs 서비스 데몬 확인
svc:/system/filesystem/autofs:default
2. svcadm disable "중지하고자 하는 데몬" 명령으로 서비스 데몬 중지
#svcadm disable svc:/system/filesystem/autofs:default
■ 조치 시 영향
NFS 및 삼바(Samba) 서비스에서 사용 시 automountd 사용 여부 확인이 필요하며, 적용 시 CDROM의 자동 마운트는 불가(/etc/auto.*, /etc/auto_*파일을 확인하여 필요 여부 확인)
■ automountd
○ 클라이언트에서 자동으로 서버에 마운트를 시키고 일정 시간 사용하지 않으면 unmount 시켜 주는 기능
■ RPC(Remote Procedure Call)
○ 별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게 하는 프로세스 간 프로토콜
■ 삼바(Samba)
○ 서로 다른 운영체제(OS) 간의 자원 공유를 위해 이용하는 서버로 같은 네트워크 내 연결된 PC는 서로 운영체제가 달라도 네트워크로 파일을 주고받을 수 있고 자원을 공유
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-45(상) NIS, NIS+ 점검 (0) | 2021.01.24 |
|---|---|
| U-44(상) RPC 서비스 확인 (0) | 2021.01.23 |
| U-42(상) NFS 서비스 접근 통제 (0) | 2021.01.22 |
| U-41(상) NFS 서비스 비활성화 (0) | 2021.01.21 |
| U-40(상) DoS 공격에 취약한 서비스 비활성화 (0) | 2021.01.21 |