GNOME Shell ≤ 45.7 Portal Helper 코드 실행 취약점 (CVE-2024-36472)
GNOME Shell 45.7 이하 버전에서 Portal Helper 프로세스가 외부 입력을 적절히 검증하지 않는 문제가 발견되었으며, 이를 이용할 경우 공격자는 임의의 자바스크립트를 실행하거나 역방향 쉘을 생성하여 GNOME 세션 내부 제어권을 획득할 수 있습니다.
이 취약점은 CVE-2024-36472로 등록되었으며, 사용자 상호작용이 최소화된 상태에서 코드 실행이 가능하다는 점에서 리눅스 데스크톱 환경 사용자에게도 중대한 보안 위협으로 평가됩니다.
1️⃣ 취약점 정보
- 취약점 번호: CVE-2024-36472
- 영향받는 버전: GNOME Shell 45.7 이하
- 취약 컴포넌트: xdg-desktop-portal → GNOME Portal Helper
- 영향 수준: 인증 불필요, 코드 실행 가능
2️⃣ 문제의 핵심 — Portal Helper 제어권 탈취
GNOME Shell은 외부 앱의 권한을 제한하기 위해 sandbox 권한을 제어하는 Portal 구조를 사용합니다. 이 과정에서 사용자의 인증·승인 과정을 보여주는 UI가 Portal Helper입니다.
문제는 Portal Helper가 처리하는 일부 데이터가 URL 기반 http 스킴 또는 외부 자바스크립트 코드를 통해 공격자에 의해 의도적으로 조작될 수 있다는 점입니다.
공격자는 아래와 같은 방식의 페이로드를 사용하여 Portal Helper가 실행하는 JS 컨텍스트를 장악할 수 있습니다.
http://malicious.site/payload.js
결과적으로, 공격자는 GNOME Shell 세션 내부에서:
- 역방향 자바스크립트 쉘 생성
- 임의 명령 실행
- 사용자 UI 동작 변조
- 세션 정보 탈취
3️⃣ 실제 악용 시나리오
📌 1. 악성 URL/파일 오픈 유도
사용자가 브라우저 또는 앱에서 특정 링크를 열면 Portal Helper가 이를 처리하며, 이 과정에서 공격자 JS가 로드됨.
📌 2. Portal Helper 기반 자바스크립트 실행
Portal Helper는 사용자 승인을 요청하는 과정에서 JS 코드를 실행하는데, 검증이 미흡해 공격자 스크립트로 덮어씌워짐.
📌 3. GNOME Shell 내부 API 호출
Portal Helper는 일부 shell API와 간접적으로 연결되므로, UI 상태·윈도우·세션 정보 접근이 가능.
📌 4. 원격 명령 실행
공격자 서버와 역방향 통신을 통해 완전한 세션 제어권 획득 가능.
4️⃣ 로그 예시 (모의 예제)
gnome-shell[2316]: portal-helper: received external script request
gnome-shell[2316]: loading http://attacker.tld/js/revshell.js
gnome-shell[2316]: executing injected payload (privileged context)
gnome-session: abnormal behavior detected in portal helper
5️⃣ 영향도 평가
이 취약점은 다음 이유로 심각한 수준으로 평가됩니다.
- 샌드박스 우회: 원래 제한된 권한 공간에서 실행되어선 안 되는 코드가 실행됨
- 사용자 상호작용 최소: 클릭 유도만으로 실행 가능
- 환경 제어권 탈취 가능: GNOME Shell UI 동작 자체가 공격자 지배 하에 들어갈 수 있음
6️⃣ 실제 조치 방법
✔ 1. GNOME Shell 패치 업데이트
sudo apt update && sudo apt upgrade
sudo dnf upgrade gnome-shell
✔ 2. xdg-desktop-portal 최신버전 유지
Portal 구조는 GNOME 외 다른 데스크탑에도 영향 가능.
✔ 3. 의심 링크 클릭 금지
포털 권한 요청 창이 예상치 못하게 뜨는 경우 즉시 취소.
✔ 4. Flatpak 앱 점검
Flatpak 앱은 Portal을 많이 사용하므로 최신 버전 유지 필요.
7️⃣ 기본 오류 대응 4단계
의도치 않은 URL 핸들링·포털 호출 확인
구버전 GNOME Portal Helper 사용 중지
의심 http 요청 차단, 방화벽·DNS 기반 차단
gnome-shell 로그, portal 로그, 세션 이상 동작 확인
8️⃣ 결론
CVE-2024-36472는 간단한 사용자 유도만으로 GNOME Shell 권한에 접근 가능한 위험한 취약점입니다. 특히 Portal Helper를 기반으로 하는 모든 GNOME 데스크탑 시스템에 영향을 주기 때문에, 즉시 패치 적용과 최신 Portal 유지가 필수적입니다.
또한 URL 기반 페이로드 악용 형태는 계속 증가하고 있으므로, 조직 환경에서도 GNOME 데스크탑을 운용 중이라면 링크 모니터링, 사용자 교육, 패키지 최신화를 반드시 시행해야 합니다.
'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글
| CVE-2025-49844 - Redis Lua 원격 코드 실행(RCE) 취약점 (2) | 2025.11.14 |
|---|---|
| CVE-2025-61882 / CVE-2025-61884 (2) | 2025.11.12 |
| CVE-2025-59287 — Microsoft WSUS 원격 코드 실행 취약점 분석 (1) | 2025.11.07 |
| CVE-2025-62626 — AMD 젠5 RDSEED 난수 오류 분석 (0) | 2025.11.06 |
| Apache Tomcat 취약점 CVE-2025-52434 / 52520 / 53506 (0) | 2025.11.04 |