[하루한줄] GCP VM takeover via DHCP flood attack

URL

Target

Google’s Comput Engine Platform

Explain

아직 패치되지 않은 취약점입니다.

ISC DHCP가 사용하는 랜덤 로직에서 취약점이 발견되었습니다. 해커는 이를 악용해 자신을 Metadata server로 가장하고 Google Cloud Platform(GCP)의 가상 머신(VM: Virtual Machine)을 장악할 수 있습니다.

ISC DHCP 클라이언트는 random() 함수를 통해 유사 난수를 생성합니다. 난수의 seed는 다음과 같은 3가지 값을 조합해 사용하는데, 유효한 범위 내에서 XID 예측이 가능해 dhcilent에 DHCP packet을 보낼 수 있습니다.

프로세스가 시작된 시점의 unixtime
dhclient 프로세스의 pid
네트워크 인터페이스 카드 이더넷 주소(MAC)의 마지막 4 byte

GCP VM은 ssh 공개키 분배와 같은 초기 설정 작업을 Metadata server에 크게 의존합니다. XID을 유추한 해커는 VM이 네트워크를 재설정하도록 유도할 수 있고 그 과정에서 자신을 Metadata server로 속여 원하는 ssh 공개키를 VM에 전달할 수 있습니다. 이후 해커는 ssh를 통해 원격 쉘에 자유자재로 접근할 수 있습니다.

1day1line

Fabu1ous gcp dhcp random network

Fabu1ous

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[하루한줄] mpengine: asprotect embedded runtime dll memory corruption Previous

[하루한줄] CVE-2021-1665: Windows 그래픽 드라이버 원격 코드 실행 취약점 Next