파이썬에서 15년 동안 패치되지 않은 오류가 발견되었다. 이 오류는 이미 전 세계 수십만 개의 프로젝트에 삽입되어 있는 상황.
문제의 취약점은 CVE-2007-4559라는 경로 조작 오류로, 조사된 바에 의하면 35만 개 이상의 오픈소스 리포지터리들에 이 취약점이 발견되었다고 한다. 최근의 SW 개발방식을 생각하면.. 오픈소스들을 포함한 애플리케이션들의 수를 세는게 불가능할 정도.
#CVE-2007-4559: Python의 tarfile 모듈에 있는 extract 및 extractall 함수의 디렉터리 탐색 취약점.
#tarfile 모듈: TAR 아카이브를 생성하는 과정에서 각 파일의 메타데이터를 검사하고 수정할 때 이용되는 각종 필터를 손쉽게 추가할 수 있게 해 줌.
취약점을 내포한 코드베이스가 SW 개발, 인공지능, 머신러닝, 코드 개발, 보안, IT 관리, 미디어 등 다양한 곳에서 발견되고 있음. 또한 AWS 페이스북, 구글, 인텔, 넷플릭스 등이 생성하고 유포한 프레임워크들에도 광범위하게 발견되는 중...
해당 취약점을 익스플로잇 하면 공격자가 피해자의 시스템 내 아무 곳에나 파일을 위치시킬 수 있게 됨. 악성코드를 실행시킬 수도 있음. 경로 조작 공격 및 임의 코드 실행 공격에 당할 수 있다. 파이썬 기반 서비스와 프로젝트 점검할 것.
게다가 익스플로잇 난이도도 굉장히 쉽다. TAR 아카이브 파일 이름에 ".."라는 문자열을 첨부함으로써 피해자의 시스템 내 경로에 임의의 파일을 덮어쓰기 할 수 있다. 공격자가 피해자의 파일 시스템에 원격에서 접근할 수 있게 되는 것.
해당 파이썬 취약점은 소프트웨어 공급망의 태생적인 약점을 드러낸다. "공급망 공격".
공격의 효율이 굉장히 좋고, 최근들에 해커들 사이에서 계속해서 연구되고 실행 중. 파이썬 라이브러리가 공유되는 사이트인 PyPI도 잦은 공격의 대상이 됨.
#공급망 공격: 소프트웨어 개발자와 공급업체를 대상으로 하는 공격으로, 취약점 하나만 노려도 굉장히 많은 수의 애플리케이션들에 영향을 준다.
[개인 의견]
기사의 마지막에 따르면, 해당 취약점은 Log4Shell을 연상시키기도 한다고 적혀있습니다.
"자바스크립트 생태계에서 발견된 Log4Shell 취약점은 사실상 자바스크립트 요소가 포함된 모든 웹사이트와 서비스, 애플리케이션들에 존재하는 것으로 알려져 있으며, 그렇기에 찾아내서 픽스를 적용하는 것조차 앞으로 수년이 걸릴 것으로 예상된다."
요즘 개발할 때 오픈소스 쓰지 않는 사람이 얼마나 되나요. 큰일입니다.
확실히.. 오픈소스 관리의 중요성이 드러나는 사건이고요. 안 그래도 많은 곳에서 사용되고 있는데 익스플로잇 방법 또한 간단하기 그지없으니, 빠른 패치가 필요해 보입니다.
해당 문제를 발견한 trellix 측에서는 처음엔 제로데이를 찾은 줄 알았다고 ㅎ바니다. 알고 보니 15년 전 취약점이었던 거죠.
trellix에서 tarfile 모듈이 여전히 취약하다는 것을 발견한 후, 해당 범위를 파악하기 쉽도록 검사해주는 스크립트를 만들었다고 합니다. 해당 이슈가 빨리 퍼지기를. 악용하기 전에 어서 패치되기를 바랍니다.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 새로운 해킹 그룹 메타도르(Metador) - metaMain과 Mafalda malware (0) | 2022.09.26 |
|---|---|
| [보안이슈] 록빗 3.0 빌더 공개! 랜섬웨어 그룹도 피해갈 수 없는 내부자 위협. (1) | 2022.09.23 |
| [보안이슈] 크롬로더 멀웨어 확산 캠페인 진행 중 (0) | 2022.09.21 |
| 앞으로 보안이슈 포스팅 시 마지막에 개인 의견을 적고자 합니다. (0) | 2022.09.20 |
| [보안이슈] (싱가포르) 스타벅스 고객 219,000명 이상 데이터 유출 사고 (0) | 2022.09.20 |
