반응형
많은 사람들이 BPFDoor를 보고 “이게 무슨 취약점이야?” 라고 혼동하기 쉬운데,
정확히 말하면 BPFDoor는 취약점(CVE)이 아니라,
리눅스의 네트워크 기능(BPF)을 악용한 고급 백도어 악성코드야.
✅ 그럼 BPFDoor는 뭐야?
항목설명
| 이름 | BPFDoor |
| 유형 | 리눅스용 백도어 악성코드 |
| 특징 | 리버스 쉘, 무포트 상태, 방화벽 우회, 탐지 어려움 |
| 악용 기술 | BPF (Berkeley Packet Filter) |
| 감염 경로 | 취약한 서버에 원격 실행 취약점(RCE) 등을 통해 설치됨 |
| 취약점 코드 (CVE)? | ❌ 없음 (자체 CVE는 아님) |
🚨 하지만 관련된 진짜 취약점들은 있어
BPFDoor 자체는 악성코드지만,
이 백도어가 설치되기 위해 공격자들이 악용하는 진짜 취약점(CVE) 들이 있어:
CVE 번호설명
| CVE-2021-3156 | sudo 권한상승 취약점 (Baron Samedit) |
| CVE-2021-26084 | Atlassian Confluence RCE |
| CVE-2021-22986 | F5 BIG-IP RCE 취약점 |
| CVE-2022-22954 | VMware Workspace ONE Access RCE |
이 취약점들을 통해 리눅스 서버에 원격 코드 실행 → BPFDoor 설치
💡 그럼 BPF는 뭔데 위험한 거야?
BPF (Berkeley Packet Filter) 는 리눅스 커널에 내장된 네트워크 패킷 필터링 엔진이야.
tcpdump, iptables, eBPF, XDP 같은 기술들이 이걸 기반으로 작동해.
📌 BPFDoor는 BPF의 raw socket sniffing 기능을 악용해서:
- 정상 포트 하나도 열지 않고
- 특정 ICMP/TCP 패킷만 감지해서
- 명령을 수신하고 쉘을 실행해버려.
→ 즉, 포트도 안 열리고, 방화벽에도 안 잡히고, 로그도 안 남고
완전 스텔스 모드 백도어야.
✅ 결론
질문답변
| BPFDoor는 CVE 취약점이야? | ❌ 아니야. 백도어 악성코드야 |
| 어떤 취약점을 통해 설치돼? | RCE, sudo, Confluence, F5 등 |
| 뭘 악용해 동작해? | 리눅스 BPF (Berkeley Packet Filter) |
| 왜 위험해? | 포트 안 열고 명령 수신 가능, 탐지 어렵고 로그 안 남음 |
✅ 요약 한 줄 설명
BPFDoor는 리눅스 BPF 기능을 악용해 포트를 열지 않고도 원격 명령을 수신하는 고급 백도어 악성코드로, 특정 취약점(CVE)이 아니라 다양한 취약점을 통해 설치되는 침투 수단입니다.
반응형