Theori Cybersecurity start-up focused on innovative R&D. We love tackling challenges that are said to be impossible to solve!

2021 Hot๐Ÿ”ฅ ๋ณด์•ˆ ์‚ฌ๊ฑด ์‚ฌ๊ณ  - ํ•˜๋ฐ˜๊ธฐ

์•ž์„  ํฌ์ŠคํŠธ์—์„œ๋Š” ์ƒ๋ฐ˜๊ธฐ์— ๋ฐœ์ƒํ•œ Hot๐Ÿ”ฅ ํ–ˆ๋˜ CVE์™€ ๋ณด์•ˆ ์‚ฌ๊ฑด/์‚ฌ๊ณ ๋ฅผ ๋‹ค๋ฃจ์—ˆ์Šต๋‹ˆ๋‹ค. ์ด๋ฒˆ ์‹œ๊ฐ„์—๋Š” ํ•˜๋ฐ˜๊ธฐ์— ๋Œ€ํ•ด ๋‹ค๋ฃจ๋„๋ก ํ•˜๊ฒ ์Šต๋‹ˆ๋‹ค !


์•ž์„  ํฌ์ŠคํŠธ์—์„œ๋Š” ์ƒ๋ฐ˜๊ธฐ์— ๋ฐœ์ƒํ•œ Hot๐Ÿ”ฅ ํ–ˆ๋˜ CVE์™€ ๋ณด์•ˆ ์‚ฌ๊ฑด/์‚ฌ๊ณ ๋ฅผ ๋‹ค๋ฃจ์—ˆ์Šต๋‹ˆ๋‹ค. ์ด๋ฒˆ ์‹œ๊ฐ„์—๋Š” ํ•˜๋ฐ˜๊ธฐ์— ๋Œ€ํ•ด ๋‹ค๋ฃจ๋„๋ก ํ•˜๊ฒ ์Šต๋‹ˆ๋‹ค !

NSO ํŽ˜๊ฐ€์ˆ˜์Šค Spyware

  • Spyware

์ง€๋‚œ 7์›” ์›Œ์‹ฑํ„ด ํฌ์ŠคํŠธ(The Washington Post)์— Private Israeli spyware used to hack cellphones of journalists, activists worldwide[1]๋ผ๋Š” ๊ธฐ์‚ฌ๊ฐ€ ์˜ฌ๋ผ์™”์Šต๋‹ˆ๋‹ค.

๊ธ€์˜ ๋‚ด์šฉ์€ ํ…Œ๋Ÿฌ๋ฆฌ์ŠคํŠธ์™€ ๋ฒ”์ฃ„์ž๋ฅผ ์ถ”์ ํ•˜๊ธฐ ์œ„ํ•œ ์ŠคํŒŒ์ด์›จ์–ด๊ฐ€ ์–ธ๋ก ์ธ, ์ธ๊ถŒ ์šด๋™๊ฐ€, ๊ธฐ์—… ์ž„์› ๋“ฑ์˜ ์Šค๋งˆํŠธํฐ์„ ํ•ดํ‚นํ•˜๋Š” ๋ฐ ์‚ฌ์šฉ๋˜์—ˆ๋‹ค๋Š” ๋‚ด์šฉ์ž…๋‹ˆ๋‹ค. ์ŠคํŒŒ์ด์›จ์–ด์˜ ํ‘œ์ ์œผ๋กœ ์ถ”์ •๋˜๋Š” 5๋งŒ๊ฐœ์˜ ์ „ํ™”๋ฒˆํ˜ธ๋ฅผ ํ™•๋ณดํ•˜์˜€์œผ๋ฉฐ, 50๊ฐœ๊ตญ์˜ 1,000๋ช… ์ด์ƒ์˜ ์‚ฌ๋žŒ๋“ค์„ ์‹๋ณ„ํ•  ์ˆ˜ ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค. ๊ทธ๋ฆฌ๊ณ  ํ‘œ์ ์œผ๋กœ๋Š” 600๋ช… ์ด์ƒ์˜ ์ •์น˜์ธ๊ณผ ์ •๋ถ€ ๊ด€๋ฆฌ, ๋‚ด๊ฐ ์žฅ๊ด€, ์™ธ๊ต๊ด€, ๊ตฐ ๋ฐ ๋ณด์•ˆ ์žฅ๊ต๋ฅผ ๋ฐ ์—ฌ๋Ÿฌ ๊ตญ๊ฐ€ ์›์ˆ˜์™€ ์ด๋ฆฌ๋„ ํฌํ•จ๋˜์–ด ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค.

๊ธฐ์‚ฌ์˜ ๋‚ด์šฉ์— ๋”ฐ๋ฅด๋ฉด ์ŠคํŒŒ์ด์›จ์–ด์˜ ์ œ์ž‘๊ณผ ํŒ๋งค์— ์ด์Šค๋ผ์—˜์˜ NSO ๊ทธ๋ฃน์ด ์—ฐ๊ด€๋˜์–ด ์žˆ์Œ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค. NSO ๊ทธ๋ฃน์€ ์ด์ „์—๋„ ์ŠคํŒŒ์ด์›จ์–ด๋ฅผ ์ œ์ž‘ ๋ฐ ํŒ๋งคํ•˜์˜€์œผ๋ฉฐ, 2016๋…„์—๋Š” Citizen Lab๊ณผ Lookout Security์—์„œ ํ•ด๋‹น ์ŠคํŒŒ์ด์›จ์–ด์— ๋Œ€ํ•œ ๋ถ„์„์„ ์ง„ํ–‰ํ•œ ๋ณด๊ณ ์„œ[2]๋ฅผ ๋ฐœํ‘œํ•˜์˜€์Šต๋‹ˆ๋‹ค.๊ตฌ์ฒด์ ์ธ ๊ณต๊ฒฉ ๋ฐฉ์‹๋„ ํ•จ๊ป˜ ๊ณต๊ฐœ๋˜์—ˆ๋Š”๋ฐ, ๊ณต๊ฒฉ์ž๋Š” ํ‘œ์ ์ด๋œ ๋Œ€์ƒ์—๊ฒŒ SMS, ์ด๋ฉ”์ผ, SNS ๋“ฑ์„ ํ†ตํ•ด ์›น URL์„ ์ „๋‹ฌํ•˜์˜€์Šต๋‹ˆ๋‹ค. (์•„๋ž˜ ์‚ฌ์ง„ ์ฐธ๊ณ )


๋ฉ”์‹œ์ง€์— ํฌํ•จ๋œ URL์„ ๊ณต๊ฒฉ ๋Œ€์ƒ์ด ์›น ๋ธŒ๋ผ์šฐ์ €๋ฅผ ํ†ตํ•ด ์ ‘์†ํ•˜๋ฉด, ํ•ด๋‹น URL ํŽ˜์ด์ง€์— ์žˆ๋Š” ์ต์Šคํ”Œ๋กœ์ž‡ ์ฝ”๋“œ๊ฐ€ ๋™์ž‘ํ•˜๋Š” ๋ฐฉ์‹์œผ๋กœ ๊ณต๊ฒฉ์ด ์ด๋ฃจ์–ด์กŒ์Šต๋‹ˆ๋‹ค. ์ดํ›„ ์›น ๋ธŒ๋ผ์šฐ์ €์˜ ๊ถŒํ•œ์œผ๋กœ ์ปค๋„ ์ทจ์•ฝ์ ์„ ์ด์šฉํ•ด ๋Œ€์ƒ์˜ ์žฅ๋น„๋ฅผ ์™„๋ฒฝํ•˜๊ฒŒ ์žฅ์•…ํ•˜์˜€์Šต๋‹ˆ๋‹ค. ๋งˆ์ง€๋ง‰์œผ๋กœ ์ŠคํŒŒ์ด์›จ์–ด๋‹ต๊ฒŒ, ๋Œ€์ƒ ์žฅ๋น„๋‚ด ๋ฉ”์‹œ์ง€ ๊ธฐ๋ก, ํ†ตํ™” ๊ธฐ๋ก, ์ด๋ฉ”์ผ ๋‚ด์šฉ, ์‚ฌ์ง„, ๋™์˜์ƒ, ์Œ์„ฑ๋ฉ”๋ชจ ๋“ฑ์— ์ ‘๊ทผํ•ด ๋ฐ์ดํ„ฐ๋ฅผ ์œ ์ถœํ•˜์˜€์œผ๋ฉฐ, ๊ธฐ๋ณธ์ ์œผ๋กœ ์„ค์น˜๋œ ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ ํ›„ํ‚น ๊ธฐ์ˆ ์„ ํ†ตํ•ด ๋งŽ์ด ์‚ฌ์šฉ๋˜๋Š” ๋‹ค๋ฅธ ์•ฑ์˜ ์ •๋ณด์—๋„ ์ ‘๊ทผํ•˜์˜€์Šต๋‹ˆ๋‹ค.


ํƒ€๊ฒŸ์ด ๋œ ์•ฑ๋“ค์€ ์ „ ์„ธ๊ณ„์ ์œผ๋กœ ๋งŽ์€ ์ ์œ ์œจ์„ ๊ฐ€์ง„ Gmail, Facetime, Facebook, Telegram, WhatsApp ์ด์™ธ์—๋„ Line, KakaoTalk, Mail.Ru ๋“ฑ ํŠน์ • ์ง€์—ญ์—์„œ ๋งŽ์ด ์‚ฌ์šฉํ•˜๋Š” ์•ฑ์— ๋Œ€ํ•ด์„œ๋„ ์ด๋ฃจ์–ด์กŒ์Šต๋‹ˆ๋‹ค. ์‹ ๊ธฐํ•˜๊ฒŒ๋„, ๋Œ€์ƒ ์•ฑ์— ๋Œ€ํ•œ๋ฏผ๊ตญ์—์„œ ๊ฐ€์žฅ ๋งŽ์ด ์‚ฌ์šฉ๋˜๋Š” ๋ฉ”์‹ ์ €์ธ ์นด์นด์˜คํ†ก ๋˜ํ•œ ํฌํ•จ๋˜์–ด ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค.

NSO ๊ทธ๋ฃน์€ ์ด์ „๋ถ€ํ„ฐ ์ŠคํŒŒ์ด์›จ์–ด์— ๋Œ€ํ•œ ๋…ผ๋ž€์ด ๋งŽ์ด ์žˆ์—ˆ์ง€๋งŒ, ์ด๋ฒˆ ํŽ˜๊ฐ€์ˆ˜์Šค ์ŠคํŒŒ์ด์›จ์–ด๋Š” ํ”„๋ž‘์Šค ๋Œ€ํ†ต๋ น๊ณผ ๊ฐ™์ด ๊ตญ๊ฐ€ ์ •์ƒ๊ธ‰ ์ธ์›๋„ ํฌํ•จ๋˜์—ˆ๋‹ค๋Š” ์ ์—์„œ ๋” ๋งŽ์€ ์ด๋ชฉ์ด ์ง‘์ค‘๋˜์—ˆ์Šต๋‹ˆ๋‹ค.


Poly Network

  • DeFi

์˜ฌํ•ด 8์›” ์‚ฌ์ƒ ์ตœ๋Œ€์˜ ๋ธ”๋ก์ฒด์ธ ํ”„๋กœํ† ์ฝœ ํ•ดํ‚น ์‚ฌ๊ฑด์ด ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค. ์ด์ข… ์ฒด์ธ ์—ฐ๊ฒฐ ํ”„๋กœ์ ํŠธ์ธ Poly Network์— ๋‚ฉ์ž…๋œ 7์ฒœ์–ต์› ์ƒ๋‹น์˜ ํฌ๋ฆฝํ†  ์ž์‚ฐ์ด ํ•ดํ‚น๋˜์—ˆ์Šต๋‹ˆ๋‹ค.[1] ํ•ดํ‚น์— ์‚ฌ์šฉ๋œ ์ทจ์•ฝ์ ์€ ์ƒ๊ฐ ์™ธ๋กœ ๋งค์šฐ ๊ฐ„๋‹จํ–ˆ์Šต๋‹ˆ๋‹ค. Solidity๋Š” ์ปดํŒŒ์ผ ๋‹จ๊ณ„์—์„œ ์™ธ๋ถ€์— ๋…ธ์ถœ๋œ ํ•จ์ˆ˜์˜ ์‹œ๊ทธ๋‹ˆ์ฒ˜๋ฅผ sha3๋ฅผ ํ†ตํ•ด ํ•ด์‹œํ•œ ํ›„ ์•ž 4๋ฐ”์ดํŠธ๋ฅผ ์ ํ”„ ํ…Œ์ด๋ธ”์˜ ์ฃผ์†Œ๋กœ ์‚ฌ์šฉํ•ฉ๋‹ˆ๋‹ค. 4๋ฐ”์ดํŠธ์˜ ์—”ํŠธ๋กœํ”ผ๋Š” ๋งค์šฐ ๋‚ฎ์•„, ์Šˆํผ์ปดํ“จํ„ฐ ์—†์ด๋„ ๊ฐ™์€ ์ ํ”„ ํ…Œ์ด๋ธ”์˜ ํ•ด์‹œ๊ฐ€ ๋‚˜์˜ค๋„๋ก ํ•จ์ˆ˜ ์‹œ๊ทธ๋‹ˆ์ฒ˜๋ฅผ ๋งŒ๋“ค ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํฌ๋กœ์Šค์ฒด์ธ ๊ธฐ๋Šฅ ์ง€์›์„ ์œ„ํ•ด Poly Network์—์„œ๋Š” ์ž„์˜ method ์ด๋ฆ„๊ณผ โ€œ(bytes,bytes,uint64)โ€ ์‹œ๊ทธ๋‹ˆ์ฒ˜๋ฅผ ๊ฐ€์ง„ ํ•จ์ˆ˜๋ฅผ ํ˜ธ์ถœํ•˜๋Š” ๊ฒƒ์„ ์ง€์›ํ•ฉ๋‹ˆ๋‹ค. ์˜๋„๋Œ€๋กœ๋ผ๋ฉด ์ธ์ž์˜ ํ˜•ํƒœ๊ฐ€ bytes๊ฑฐ๋‚˜ address์™€ ๊ฐ™์ด ๋‹ค๋ฅธ ํƒ€์ž…์ผ ๊ฒฝ์šฐ ๋‹ค๋ฅธ ํ•ด์‹œ ๊ฐ’์ด ๋‚˜์™€์•ผ ํ•˜์ง€๋งŒ, โ€œf1121318093(bytes,bytes,uint64)โ€[:8] (hexdigest๋œ 4๋ฐ”์ดํŠธ ํ‘œ๊ธฐ)์˜ ๊ฐ’์ด ๋‹ค๋ฅธ ํƒ€์ž…์„ ์ธ์ž๋กœ ๋ฐ›๋Š” โ€œputCurEpochConPubKeyBytes(bytes)โ€[:8]์˜ ๊ฒฐ๊ณผ ๊ฐ’๊ณผ ๋™์ผํ•œ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•ด์ปค๋Š” f1121318093 ํ•จ์ˆ˜๋ฅผ ํ˜ธ์ถœํ•ด(putCurEpochConPubKeyBytes์™€ ๊ฐ™์€ hash ๊ฒฐ๊ณผ) ์ž์‹ ์˜ ํผ๋ธ”๋ฆญํ‚ค๋ฅผ ํฌ๋กœ์Šค์ฒด์ธ ๋งค๋‹ˆ์ €๋กœ ํ—ˆ์šฉํ•œ ํ›„ Poly Network์ด ๊ฐ€์ง€๊ณ  ์žˆ๋Š” ์ž์‚ฐ์„ ๋ชจ๋‘ ํƒˆ์ทจํ–ˆ์Šต๋‹ˆ๋‹ค.

ํฅ๋ฏธ๋กœ์› ๋˜ ๋ถ€๋ถ„์€, ํ•ด์ปค๊ฐ€ ์ž์‚ฐ์„ ํƒˆ์ทจํ•œ ํ›„ Poly NetworkํŒ€๊ณผ ๋ธ”๋ก์ฒด์ธ์„ ํ†ตํ•ด ์ปค๋ฎค๋‹ˆ์ผ€์ด์…˜์„ ํ•˜๋Š” ๋ถ€๋ถ„์ž…๋‹ˆ๋‹ค. ๊ณต๊ฒฉ์— ์‚ฌ์šฉ๋˜์—ˆ๋˜ ์ฃผ์†Œ์— FTX, OKEX ๋“ฑ KYC๋ฅผ ํ•„์ˆ˜๋กœ ์š”๊ตฌํ•˜๋Š” ๊ฑฐ๋ž˜์†Œ์˜ ์ž…/์ถœ๊ธˆ ๊ธฐ๋ก์ด ์กด์žฌํ–ˆ์Šต๋‹ˆ๋‹ค. ์ด๋Š”, ๋ฒ•์ ์ธ ๊ฐ•์ œ์„ฑ์ด ๋ถ€์—ฌ๋œ๋‹ค๋ฉด ์ค‘์•™ํ™” ๊ฑฐ๋ž˜์†Œ์—์„œ Poly Network์—๊ฒŒ ์ •๋ณด๋ฅผ ์ œ๊ณตํ•ด ์ค„ ์—ฌ์ง€๊ฐ€ ์กด์žฌํ•œ๋‹ค๋Š” ๊ฒƒ์ž…๋‹ˆ๋‹ค. ๋˜ ๋ฏธ๋””์–ด๋ฅผ ํ†ตํ•ด ๊ณ„์†ํ•ด์„œ ๊ณต๊ฒฉ์ž์˜ ์‹ ์›์„ ์•Œ๊ณ ์žˆ๋‹ค๋Š” ์‚ฌ๋žŒ์˜ ์ œ๋ณด๊ฐ€ ์Ÿ์•„์ ธ์™”์Šต๋‹ˆ๋‹ค. ๊ณ„์†๋˜๋Š” ์••๋ฐ• ์†์— ๊ณต๊ฒฉ์ž๋Š” โ€œ๋งŒ์•ฝ ๋ˆ„๊ตฌ์ธ์ง€ ํŠน์ •ํ•  ์ˆ˜ ์žˆ๋‹ค๋ฉด 7์ฒœ์–ต์ด๋ผ๋Š” ํฐ ๋ˆ์„ ํƒˆ์ทจํ•œ ํ•ด์ปค๋ฅผ ๊ฐ€๋งŒํžˆ ๋†”๋‘˜ ์‚ฌ๋žŒ์€ ์—†๋‹คโ€๊ณ  ์ƒ๊ฐํ•˜์˜€๋Š”์ง€, ์ž์‹ ์ด ์ด ๊ฑฐ๋ž˜์—์„œ ์กŒ๋‹ค๋ฉด์„œ ํƒˆ์ทจํ•œ ๋ชจ๋“  ๊ธˆ์•ก์„ ๋Œ๋ ค์ฃผ๊ฒ ๋‹ค๊ณ  ํ•˜์˜€์Šต๋‹ˆ๋‹ค. ๋ธ”๋ก์ฒด์ธ์„ ์ด์šฉํ•ด ํŠธ๋žœ์žญ์…˜์— ์ถ”๊ฐ€ ๋ฐ์ดํ„ฐ๋ฅผ ์ ๋Š” ๋ฐฉ์‹์œผ๋กœ ์ง„ํ–‰๋œ ํ•ด์ปค์™€์˜ ๋Œ€ํ™” ๋‚ด์šฉ์€ [2] ์—์„œ ์ž์„ธํžˆ ํ™•์ธํ•ด๋ณผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์™œ Poly Network์„ ๊ณต๊ฒฉํ–ˆ๋Š”์ง€ ๋“ฑ์„ ๋น„๋กฏํ•œ ํ•ด์ปค์˜ ๊ณ ๋ฐฑ(?)์€ [3]์—์„œ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.



  • Path Traversal
  • ์›๊ฒฉ ์ฝ”๋“œ ์‹คํ–‰, Remote Code Execution
  • CVE-2021-41773, CVE-2021-42013

NGINX์™€ ์–‘๋Œ€ ์‚ฐ๋งฅ์„ ์ด๋ฃจ๊ณ  ์žˆ๋Š” HTTP ์„œ๋ฒ„์ธ Apache์—์„œ Path Traversal์„ ํ†ตํ•ด Remote Code Execution์ด ๊ฐ€๋Šฅํ•œ ์ทจ์•ฝ์ ์ด ๋ฐœ๊ฒฌ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.[1] ์ด ์ทจ์•ฝ์ ์˜ ๊ธฐ์›์€ Java Servlet๊ณผ Mod proxy์™€์˜ ํ˜ธํ™˜ ์„ค์ •์„ ์œ„ํ•ด ์ถ”๊ฐ€๋œ Path Normalization ์ฝ”๋“œ์—์„œ ๋ถ€ํ„ฐ ์‹œ์ž‘๋˜์—ˆ์Šต๋‹ˆ๋‹ค. ํŠน์ • ์กฐ๊ฑด์ด ๋งŒ์กฑํ•˜๋Š” ์„œ๋ฒ„๋ฉด, Apache๊ฐ€ ๊ถŒํ•œ์ด ์žˆ๋Š” ํŒŒ์ผ ์‹œ์Šคํ…œ์˜ ๋ชจ๋“  ํŒŒ์ผ์„ ์ฝ์„ ์ˆ˜ ์žˆ๋Š” ์ทจ์•ฝ์ ์ด์—ˆ์Šต๋‹ˆ๋‹ค. ์—ฌ๊ธฐ์„œ ๋” ํฐ ๋ฌธ์ œ๋Š” ํ•ด๋‹น โ€œํŠน์ • ์กฐ๊ฑดโ€์„ ๋งŒ์กฑํ•˜๋Š” ์„œ๋ฒ„๊ฐ€ ๋งค์šฐ ๋งŽ๋‹ค๋Š” ๊ฒƒ์ž…๋‹ˆ๋‹ค. ์„œ๋ฒ„ ๊ฒ€์ƒ‰ ์—”์ง„์ธ๋ฅผ ํ†ตํ•ด ํ™•์ธํ•ด๋ณด๋ฉด ๋Œ€๋Ÿ‰ 10๋งŒ๊ฐœ์˜ ์„œ๋ฒ„๊ฐ€ ํ•ด๋‹น ์ทจ์•ฝ์ ์— ๋…ธ์ถœ๋˜์–ด์žˆ๋‹ค๋Š” ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

Apache 2.4.49 ๋ฒ„์ „์—์„œ ์ฒ˜์Œ ๋ฐœ๊ฒฌ๋œ ์ทจ์•ฝ์ ์€ 2.4.50์—์„œ ์ˆ˜์ •๋˜์—ˆ์ง€๋งŒ, ๋˜ ๋‹ค๋ฅธ ์šฐํšŒ๋ฒ•์ด ๋ฐœ๊ฒฌ๋˜์–ด 2.4.51์—์„œ ๋‹ค์‹œ ํ•œ๋ฒˆ ํŒจ์น˜๋˜์—ˆ์Šต๋‹ˆ๋‹ค. ์ตœ๊ทผ์— ๋ฐœ์ƒํ•œ Log4j์˜ ์—ฐ์ด์€ ์—…๋ฐ์ดํŠธ์—๋„ ๊ณ„์†ํ•ด์„œ ์ƒˆ๋กœ์šด ์šฐํšŒ๋ฒ•/์ทจ์•ฝ์ ์ด ๋ฐœ๊ฒฌ๋˜๋Š” ๊ฒƒ์„ ๋ณด๋ฉด, ์šฐ๋ฆฌ๊ฐ€ ์‚ฌ์šฉํ•˜๋Š” ์†Œํ”„ํŠธ์›จ์–ด์˜ ๋Œ€๋ถ€๋ถ„์—๋Š” ์—ฌ์ „ํžˆ ๋งŽ์€ ์ทจ์•ฝ์ ์ด ์กด์žฌํ•˜๊ณ  ์žˆ์ง€๋งŒ ์ถฉ๋ถ„ํ•œ ๊ด€์‹ฌ์„ ๋ฐ›๊ธฐ ์ „์—๋Š” ์‰ฝ๊ฒŒ ํ‘œ๋ฉด์œ„๋กœ ๋‚˜ํƒ€๋‚˜์ง€ ์•Š์•„ ์กด์žฌํ•˜๋Š”์ง€๋„ ๋ชจ๋ฅด๋Š” ์œ„ํ—˜ํ•œ ์ƒํƒœ์— ๋†“์—ฌ์žˆ์ง€๋Š” ์•Š์„๊นŒ ํ•˜๋Š” ๊ฑฑ์ •๋„ ๋“ค๊ณ , ๋ฌธ์ œ์ ์ด ๋ฐœ๊ฒฌ๋˜์—ˆ์„ ๋•Œ ์ •ํ™•ํžˆ ์›์ธ์„ ์ดํ•ดํ•˜๊ณ  ๋น„์Šทํ•œ ์‚ฌ๋ก€๋“ค๊นŒ์ง€๋„ ์˜ฌ๋ฐ”๋ฅธ ํŒจ์น˜๋ฅผ ํ†ตํ•ด ์•ˆ์ „ํ•˜๊ฒŒ ๋งŒ๋“œ๋Š” ๊ฒƒ์ด ์ค‘์š”ํ•˜๋‹ค๊ณ  ์ƒ๊ฐ๋ฉ๋‹ˆ๋‹ค.

2021๋…„ ๋ง ํ˜„์žฌ, ๋Œ€๋ถ€๋ถ„์˜ ๊ธฐ์—…์—์„œ ํŒจ์น˜๋ฅผ ์ง„ํ–‰ํ–ˆ์ง€๋งŒ ์•„์ง๋„ 15,000์—ฌ๊ฐœ์˜ ์ทจ์•ฝํ•œ ๋ฒ„์ „์˜ Apache ์„œ๋ฒ„๊ฐ€ ๊ตฌ๋™๋˜๊ณ  ์žˆ์–ด ์ฃผ์˜๊ฐ€ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.[2]



  • ์›๊ฒฉ ์ฝ”๋“œ ์‹คํ–‰, Remote Code Execution
  • CVE-2021-26084

๊ตญ๋‚ด ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ ํ•ด์™ธ์—์„œ๋„ ๋‹ค์ˆ˜์˜ ๊ธฐ์—…์—๊ฒŒ ์‚ฌ๋ž‘๋ฐ›๊ณ  ์žˆ๋Š” ํ˜‘์—… ํ”Œ๋žซํผ, ์•„ํ‹€๋ผ์‹œ์•ˆ(Atlassian)์˜ ์ปจํ”Œ๋ฃจ์–ธ์Šค(Confluence)์—์„œ ์›๊ฒฉ ์ฝ”๋“œ ์‹คํ–‰ ์ทจ์•ฝ์ ์ด ๋ฐœ์ƒํ•˜์˜€์Šต๋‹ˆ๋‹ค. ์‹ฌ๊ฐํ•œ ํ”ผํ•ด๋ฅผ ์•ผ๊ธฐํ•  ์ˆ˜ ์žˆ๋Š” ์ทจ์•ฝ์ ์ž„์—๋„ ๊ณต๊ฒฉ ์‹œ๋„ ์‹œ ์‚ฌ์šฉ์ž ์ธ์ฆ๊ณผ ๊ฐ™์€ ์ œ์•ฝ์กฐ๊ฑด์ด ์—†๊ธฐ ๋•Œ๋ฌธ์— ์ทจ์•ฝ์ ์€ ์‰ฝ๊ฒŒ ์Šค์บ๋‹๋  ์ˆ˜ ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค. ์ทจ์•ฝ์ ์€ Object-Graph Navigation Language, OGNL Injection์œผ๋กœ, ์ปจํ”Œ๋ฃจ์–ธ์Šค ์„œ๋ฒ„์™€ Data center์˜ Webwork ๋ชจ๋“ˆ์—์„œ ๋ฐœ์ƒํ•ฉ๋‹ˆ๋‹ค.

์ปจํ”Œ๋ฃจ์–ธ์Šค์—์„œ๋Š” Webwork ๋ผ์ด๋ธŒ๋Ÿฌ๋ฆฌ๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ Velocity ํ…œํ”Œ๋ฆฟ์—์„œ ์›น ํŽ˜์ด์ง€ ์ฝ˜ํ…์ธ ๋ฅผ ๋™์ ์œผ๋กœ ์ƒ์„ฑํ•˜๊ธฐ ์œ„ํ•ด OGNL ํ‘œํ˜„์‹์„ ์‚ฌ์šฉํ•ฉ๋‹ˆ๋‹ค. OGNL์€ ์ž๋ฐ” ๊ฐ์ฒด์˜ ์†์„ฑ ๊ฐ’์„ ๊ฐ€์ ธ์˜ค๊ฑฐ๋‚˜ ์„ค์ •ํ•  ๋•Œ ์‚ฌ์šฉํ•˜๋Š” ๋™์  EL(Expression Language) ์ž…๋‹ˆ๋‹ค[1]. Velocity ํ…œํ”Œ๋ฆฟ์ด ํŽ˜์ด์ง€์— ๋ Œ๋”๋  ๋•Œ, OGNL ๊ตฌ๋ฌธ์ด ํ•ด์„๋ฉ๋‹ˆ๋‹ค. ์ด๋•Œ, ์‚ฌ์šฉ์ž์˜ ์ž…๋ ฅ๊ฐ’์˜ ์œ ํšจ์„ฑ์„ ์ถฉ๋ถ„ํžˆ ๊ฒ€์‚ฌํ•˜์ง€ ์•Š์•„ ์ž…๋ ฅ๊ฐ’์ด ํ…œํ”Œ๋ฆฟ์—์„œ OGNL๊ตฌ๋ฌธ์œผ๋กœ ํ•ด์„๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๊ณต๊ฒฉ์ž๋Š” ์ด๋ฅผ ์•…์šฉํ•˜์—ฌ ์ปจํ”Œ๋ฃจ์–ธ์Šค ์„œ๋ฒ„์— ์•…์˜์ ์ธ OGNL๊ตฌ๋ฌธ์„ ์‚ฝ์ž…ํ•˜์—ฌ ์ž„์˜ ์ฝ”๋“œ๋ฅผ ์‹คํ–‰ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•ด๋‹น ์ทจ์•ฝ์ ์€ ์ œ๋ณด๋œ์ง€ ํ•œ ๋‹ฌ ๋’ค์ธ 8์›” 25์ผ ๋น ๋ฅด๊ฒŒ hotfix๋กœ ํŒจ์น˜๋˜์—ˆ์Šต๋‹ˆ๋‹ค[2].

๋งŽ์€ ๊ธฐ์—…์—์„œ ๋ฌธ์„œ์˜ ํ‘œ์ค€์œผ๋กœ ์ปจํ”Œ๋ฃจ์–ธ์Šค๋ฅผ ์‚ฌ์šฉํ•˜๊ณ  ์žˆ๋Š” ๋งŒํผ ์ด๋ฒˆ ๊ณต๊ฒฉ์˜ ํŒŒ๊ธ‰๋ ฅ์€ ์ƒ๋‹นํ–ˆ์Šต๋‹ˆ๋‹ค. ์—…๋ฌด์— ํ•„์š”ํ•œ ์†Œํ”„ํŠธ์›จ์–ด๋ฅผ ์‚ฌ์šฉํ•  ๋•Œ๋Š” ํ•ด๋‹น ์„œ๋น„์Šค์— ์ทจ์•ฝ์ ์ด ๋ฐœ๊ฒฌ๋˜์ง„ ์•Š์•˜๋Š”์ง€, ๋„ˆ๋ฌด ๋‚ฎ์€ ๋ฒ„์ „์„ ์‚ฌ์šฉํ•˜๊ณ  ์žˆ์ง€ ์•Š์€์ง€ ํ•ญ์ƒ ์ถ”์ ํ•˜์—ฌ ์—…๋ฐ์ดํŠธํ•ด์•ผ ์•ˆ์ „ํ•œ ์—…๋ฌด ํ™˜๊ฒฝ์„ ์œ ์ง€ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.


๋ผ์ž๋ฃจ์Šค IDA ๋ฐฑ๋„์–ด

  • Backdoor, Trojan
  • ๋ถํ•œ ํ•ดํ‚น๊ทธ๋ฃน, Lazarus Group

2021๋…„ 11์›”๊ฒฝ, ๋ถํ•œ์˜ ํ•ดํ‚น ๊ทธ๋ฃน ๋ผ์ž๋ฃจ์Šค๊ฐ€ ๋ณด์•ˆ ์—ฐ๊ตฌ์ž๋“ค์„ ๋Œ€์ƒ์œผ๋กœ ํ•ดํ‚น์„ ์‹œ๋„ํ•œ ํ”์ ์ด ๋ฐํ˜€์กŒ์Šต๋‹ˆ๋‹ค.[1] ๊ทธ๋“ค์˜ ํ•ดํ‚น ๋ฐฉ์‹์€ ์ƒ๋‹นํžˆ ๊ณ ์ „์ ์ด์—ˆ์ง€๋งŒ, ๋ณด์•ˆ ์—ฐ๊ตฌ์ž๋“ค์„ ํƒ€๊ฒŸ์œผ๋กœ ํ•˜๊ธฐ์—๋Š” ์ถฉ๋ถ„ํ–ˆ์Šต๋‹ˆ๋‹ค. ๋ผ์ž๋ฃจ์Šค๋Š” ๋ณด์•ˆ ์—ฐ๊ตฌ์ž๋“ค์ด ์ฃผ๋กœ ์‚ฌ์šฉํ•˜๋Š” ๋ถ„์„ ๋„๊ตฌ์ธ IDA Pro 7.5 ๋ฒ„์ „์„ ํฌ๋ž™ํ•œ ํ›„ ๋ฐฑ๋„์–ด๊ฐ€ ํฌํ•จ๋œ ๋ถˆ๋ฒ• ๋ณต์ œํŒŒ์ผ์„ ์˜จ๋ผ์ธ์ƒ์— ๋ฐฐํฌํ–ˆ์Šต๋‹ˆ๋‹ค. ๋ณด์•ˆ ์—ฐ๊ตฌ์ž๊ฐ€ ๋ถˆ๋ฒ• ๋ณต์ œํŒŒ์ผ์„ ๋‹ค์šด๋กœ๋“œ ๋ฐ›์€ ํ›„ ์‹คํ–‰ํ•˜๋ฉด ๋‚ด์žฅ๋œ ๋ฐฑ๋„์–ด๊ฐ€ ์‹คํ–‰๋˜๋Š” ๊ฐ„๋‹จํ•œ ๊ตฌ์กฐ์ž…๋‹ˆ๋‹ค. ํ•ด๋‹น ๋ฐฑ๋„์–ด๋Š” ๊ณต๊ฒฉ์ž์˜ ์„œ๋ฒ„์— ์กด์žฌํ•˜๋Š” ์ถ”๊ฐ€์ ์ธ ํŒจ์ด๋กœ๋“œ๋ฅผ ๋‹ค์šด๋กœ๋“œ ๋ฐ›์€ ํ›„ ์‹คํ–‰ํ•˜์—ฌ ๊ถ๊ทน์ ์œผ๋กœ๋Š” PC๋ฅผ ์žฅ์•…ํ•  ์ˆ˜ ์žˆ๋Š” ๊ฒƒ์œผ๋กœ ํ™•์ธ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.


๋ผ์ž๋ฃจ์Šค ์†Œ์œ [2] ์˜ ๋„๋ฉ”์ธ์—์„œ ํŒจ์ด๋กœ๋“œ๋ฅผ ๋ฐ›์•„์˜ค๋Š” ๋ฐฑ๋„์–ด ์ฝ”๋“œ

๋ณด์•ˆ ์—ฐ๊ตฌ์ž๋“ค์€ IDA๋ฅผ ํ†ตํ•ด ํ”„๋กœ๊ทธ๋žจ์„ ๋ถ„์„ํ•˜๊ณ , ์ œ๋กœ๋ฐ์ด๋ฅผ ์ฐพ๊ธฐ๋„ ํ•ฉ๋‹ˆ๋‹ค. ๋งŒ์•ฝ, ๋ณด์•ˆ ์—ฐ๊ตฌ์ž๊ฐ€ ์‹ค์ œ๋กœ ์ทจ์•ฝ์ ์„ ์ฐพ๊ณ  ์›๋ฐ์ด ๋˜๋Š” ์ œ๋กœ๋ฐ์ด๋ฅผ PC์— ์ €์žฅํ•ด ๋‘์—ˆ๋‹ค๋ฉด ๋ผ์ž๋ฃจ์Šค๋Š” ํ•ด๋‹น ์ทจ์•ฝ์ ์„ ์†์‰ฝ๊ฒŒ ํ›”์น  ์ˆ˜ ์žˆ์—ˆ์„ ๊ฒƒ์ž…๋‹ˆ๋‹ค. ์ด๋Ÿฐ ์ ์„ ๋ฏธ๋ฃจ์–ด ๋ณด์•„ ๊ทธ๋“ค์—๊ฒŒ ์ด๋ฒˆ ํƒ€๊ฒŸ์€ ์ƒ๋‹นํžˆ ์ข‹์€ ๋จน์ž‡๊ฐ์œผ๋กœ ์„ ์ •๋˜์—ˆ์„ ๊ฒƒ์ด๋ผ๊ณ  ์ƒ๊ฐํ•ฉ๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ๋ฐ์ดํ„ฐ ์œ ์ถœ ํ–‰์œ„ ์™ธ์—๋„ ๊ณต๊ฒฉ์ž๋Š” ํŒŒ์ผ์„ ์•”ํ˜ธํ™”ํ•˜๊ฑฐ๋‚˜ ์‚ญ์ œํ•˜๋Š” ๋“ฑ, ๋žœ์„ฌ์›จ์–ด ํ˜•ํƒœ๋กœ ๋” ๊ต๋ฌ˜ํ•˜๊ฒŒ ํฐ ํ”ผํ•ด๋ฅผ ์ž…ํž ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

๋”ฐ๋ผ์„œ, ์šฐ๋ฆฌ๋Š” ์œ„ ์‚ฌ๊ฑด์„ ํ†ตํ•ด ํŠน์ •ํ•œ ๋ถ„์•ผ์—์„œ ๋ฏผ๊ฐํ•œ ๋ฐ์ดํ„ฐ๋ฅผ ๋‹ค๋ฃจ๋Š” ์—…๋ฌด๋ฅผ ํ•˜๊ณ  ์žˆ๋Š” ๊ฒฝ์šฐ ๋ณด์•ˆ์— ํŠนํžˆ ๋” ์‹ ๊ฒฝ ์จ์•ผ ํ•œ๋‹ค๋Š” ๊ตํ›ˆ์„ ๋ฐฐ์šธ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋˜ํ•œ, ์˜จ๋ผ์ธ์ƒ์—์„œ ๋‹ค์šด๋ฐ›๋Š” ๋ถˆ๋ฒ• ๋ณต์ œ ํŒŒ์ผ๋“ค์€ ์‹ ๋ขฐํ•ด์„œ๋„ ์•ˆ ๋˜๋ฉฐ ์œค๋ฆฌ์ ์œผ๋กœ๋„ ์ด๋Ÿฐ ํ–‰์œ„๋Š” ๊ทผ์ ˆ๋˜์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.


Microsoft Excel

  • Security Feature Bypass
  • CVE-2021-42292

Microsoft Excel๋Š” ๊ตญ/๋‚ด์™ธ๋กœ ๋งŽ์ด ์‚ฌ์šฉํ•˜๋Š” ๋ฌธ์„œ ์†Œํ”„ํŠธ์›จ์–ด์ž…๋‹ˆ๋‹ค. Excel์—์„œ ํŠน์ • ํŒŒ์ผ ๋กœ๋“œ ์‹œ ํ•ด๋‹น ํŒŒ์ผ์— ๋งคํฌ๋กœ ์Šคํฌ๋ฆฝํŠธ๊ฐ€ ํฌํ•จ๋œ ๊ฒฝ์šฐ ํ”„๋กฌํ”„ํŠธ๋ฅผ ํ†ตํ•ด ์ด์šฉ์ž์—๊ฒŒ ๊ฒฝ๊ณ ๋ฅผ ํ•ด์ฃผ๋ฉฐ, ์‹คํ–‰ ์—ฌ๋ถ€๋ฅผ ์„ ํƒํ•˜๋„๋ก ํ•ฉ๋‹ˆ๋‹ค.


์ง€๋‚œ 11์›”์— ๊ณต๊ฐœ๋œ CVE-2021-42292 ์ทจ์•ฝ์ ์€ ์œ„์™€ ๊ฐ™์€ ๋ณด์•ˆ ์˜ต์…˜์„ ์šฐํšŒํ•  ์ˆ˜ ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค. ํ•ด๋‹น ์ทจ์•ฝ์ ์ด ์ด์Šˆ๊ฐ€ ๋œ ์ด์œ ๋Š” 0-day ์ทจ์•ฝ์ ์œผ๋กœ ์‹ค์ œ ์•…์šฉ๋˜๊ณ  ์žˆ์—ˆ๊ธฐ ๋•Œ๋ฌธ์ž…๋‹ˆ๋‹ค.[1] ๋˜ํ•œ ํ•ด๋‹น ์ทจ์•ฝ์ ์ด ๊ณต๊ฐœ๋œ ์‹œ์ ์—์„œ Mac๋ฒ„์ „์˜ ํ”„๋กœ๊ทธ๋žจ์— ๋Œ€ํ•œ ํŒจ์น˜๋Š” ์ฆ‰์‹œ ์ œ๊ณต๋˜์ง€ ์•Š์•˜์œผ๋ฉฐ, 2021๋…„ 11์›” 16์ผ์— ํŒจ์น˜๊ฐ€ ๊ณต๊ฐœ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.[2]

์ด์™€ ๊ฐ™์€ ์ทจ์•ฝ์ ์€ ๋ฌธ์„œํ˜• ์•…์„ฑ์ฝ”๋“œ์—์„œ ์‚ฌ์šฉ๋  ์ˆ˜ ์žˆ์œผ๋ฉฐ, ์†Œํ”„ํŠธ์›จ์–ด์—์„œ ๋ฐœ์ƒํ•˜๋Š” ์ทจ์•ฝ์ ๊ณผ ๋ฒ„์ „์„ ํ•ญ์‹œ ํ™•์ธํ•˜์—ฌ ํ”ผํ•ด๋ฅผ ๋ฐฉ์ง€ํ•˜์—ฌ์•ผ ํ•ฉ๋‹ˆ๋‹ค ! ๐Ÿ› ๏ธ



  • IoT, ์›”ํŒจ๋“œ

2021๋…„ 11์›”๊ฒฝ, ๊ตญ๋‚ด ๋‹ค์ˆ˜์˜ ๊ฐ€์ •์ง‘ ๋‚ด ์›”ํŒจ๋“œ๊ฐ€ ํ•ดํ‚น๋˜์–ด ์˜์ƒ ์ž๋ฃŒ ์œ ์ถœ๋กœ ์ธํ•ด ์ˆ˜๋งŽ์€ ์‚ฌ์ƒํ™œ ์นจํ•ด ํ”ผํ•ด์ž๋“ค์ด ๋ฐœ์ƒํ•˜๊ณ , ์ด๋กœ ์ธํ•œ ๊ณตํฌ๊ฐ€ ํ™•์‚ฐ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.[1]

์ดˆ์—ฐ๊ฒฐ์‹œ๋Œ€๊ฐ€ ๋„๋ž˜ํ•˜๊ณ , ์šฐ๋ฆฌ ์‚ถ ์–ด๋””์„œ๋“  ์ธํ„ฐ๋„ท์ด ์ž๋ฆฌ์žก๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ๋ชจ์Šต์€ ๊ฐ€์ •์ง‘ ๋‚ด์—์„œ๋„ ์‰ฝ๊ฒŒ ์ฐพ์•„๋ณผ ์ˆ˜ ์žˆ๋Š”๋ฐ ๋ƒ‰์žฅ๊ณ , ์—์–ด์ปจ, ๊ฐ€์Šค๋ ˆ์ธ์ง€ ๋“ฑ์ด ํ™ˆ๋„คํŠธ์›Œํฌ๋ฅผ ์ด๋ฃจ๊ณ  ํ•ด๋‹น ๊ธฐ๊ธฐ๋“ค์„ ์ œ์–ดํ•  ์ˆ˜ ์žˆ๋Š” ๊ฒƒ์ด ํ•˜๋‚˜์˜ ์˜ˆ์ž…๋‹ˆ๋‹ค. ์ด๋ฒˆ์— ๋ฌธ์ œ๊ฐ€ ๋œ ๊ฒƒ์€ ๋„์–ด๋ฒจ์ด ์šธ๋ฆฌ๋ฉด ๋ฐ”๊นฅ์˜ ๋ฐฉ๋ฌธ์ž์™€ ์˜์ƒ ํ†ตํ™”๋ฅผ ํ•  ์ˆ˜ ์žˆ๋Š” ์›”ํŒจ๋“œ ์žฅ๋น„๊ฐ€ ํ•ดํ‚น๋˜์–ด ์ผ์–ด๋‚œ ์‚ฌ๊ฑด์ž…๋‹ˆ๋‹ค.

๊ณต๊ฒฉ์ž๋Š” ์›”ํŒจ๋“œ์˜ ์˜์ƒ ๋ฐ์ดํ„ฐ๋ฅผ ํ›”์ณ์˜จ ๋’ค, ์ด๋ฅผ ๋‹คํฌ์›น์ƒ์—์„œ ๊ฐ€์ƒํ™”ํ๋ฅผ ํ†ตํ•ด ๋‹น์‹œ ์‹œ์„ธ ์•ฝ 800๋งŒ์› ์ •๋„๋กœ ํ•œ ๊ฐ€๊ตฌ์˜ ํ•˜๋ฃจ ์˜์ƒ์„ ํŒ๋งคํ•˜๋Š” ๊ธ€๊นŒ์ง€ ์˜ฌ๋ ธ์Šต๋‹ˆ๋‹ค.


๊ณต๊ฒฉ์ž๋กœ ์ถ”์ •๋˜๋Š” ์ธ๋ฌผ์ด ์—…๋กœ๋“œํ•œ ํŒ๋งค ๊ธ€[1]

์ด๋ฒˆ ํ•ดํ‚น ์‚ฌ๊ฑด์˜ ์ •ํ™•ํ•œ ๋ฐฉ๋ฒ•์€ ๋ฐํ˜€์ง€์ง€ ์•Š์•˜์ง€๋งŒ, IoT ์žฅ๋น„์ธ ์›”ํŒจ๋“œ๊ฐ€ ํ†ต์‹ ์„ ์œ„ํ•ด ๋„คํŠธ์›Œํฌ์ƒ์—์„œ ์™ธ๋ถ€๋กœ ์—ฐ๊ฒฐ๋˜์–ด ์žˆ๊ณ  ๊ณต๊ฒฉ์ž๋Š” ์ด๋ฅผ ํ†ตํ•ด ๊ณต๊ฒฉ์„ ์‹œ๋„ํ–ˆ์„ ๊ฒƒ์ด๋ผ ์ถ”์ธกํ•ด๋ณผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ํ•ดํ‚น์„ ๋ง‰๊ธฐ ์œ„ํ•ด, ์žฅ๋น„๋ฅผ ์‚ฌ์šฉํ•˜๋Š” ๊ฐœ์ธ ์ด์šฉ์ž๋Š” ์›น์บ ์ด ๋“ค์–ด๊ฐ„ ์žฅ๋น„์— ๋ฌผ๋ฆฌ์ ์œผ๋กœ ์Šคํ‹ฐ์ปค๋ฅผ ๋ถ™์ด๊ฑฐ๋‚˜, ๊ธฐ๋Šฅ์„ ๋น„ํ™œ์„ฑํ™” ํ•˜๋Š” ๋“ฑ์œผ๋กœ ๋Œ€์ฒ˜ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋‹ค๋งŒ, ์ด๋Ÿฌํ•œ ์‚ฌ๊ฑด์ด ์žฌ๋ฐœํ•˜์ง€ ์•Š๋„๋ก ์žฅ๋น„๋ฅผ ์ œํ’ˆํ™”ํ•˜๋Š” ์—…์ฒด์—์„œ๋Š” ์ถœ์‹œ ์ „, ์ฒด๊ณ„์ ์ธ ๋ณด์•ˆ ๊ฐ์‚ฌ๋ฅผ ํ†ตํ•ด ํ•ด๋‹น ๊ธฐ๊ธฐ ๋‚ด ์ทจ์•ฝ์ ์„ ์„ ์ œ์ ์œผ๋กœ ์ œ๊ฑฐํ•˜๋Š” ๊ฒƒ์„ ์šฐ์„ ์‹œ ํ•˜๋ฉด ์ข‹์„ ๊ฒƒ ๊ฐ™์Šต๋‹ˆ๋‹ค.



  • Path Traversal
  • CVE-2021-43798

๋‹ค์†Œ ์ƒ์†Œํ•  ์ˆ˜๋„ ์žˆ๋Š” Grafana๋ž€ ์ œํ’ˆ์€, ๋‹ค์–‘ํ•œ ๊ณณ์—์„œ ๋ฐœ์ƒํ•˜๋Š” ๋กœ๊ทธ์™€ ์ง€ํ‘œ(metric)๋ฅผ ๊ฐ€๊ณตํ•˜์—ฌ ๋ณด์—ฌ์ฃผ๋Š” ์˜คํ”ˆ์†Œ์Šค ๋ชจ๋‹ˆํ„ฐ๋ง ์†Œํ”„ํŠธ์›จ์–ด์ž…๋‹ˆ๋‹ค. 2021๋…„ 12์›”์— ๋‹ค์Œ๊ณผ ๊ฐ™์€ ํŠธ์œ—์ด ์˜ฌ๋ผ์˜ต๋‹ˆ๋‹ค.[1]


ํ•ด๋‹น ํŠธ์œ— ๋‚ด์šฉ์„ ๋ฐ”ํƒ•์œผ๋กœ ๊ตฌ๊ธ€๋ง์„ ํ•ด๋ณธ ๊ฒฐ๊ณผ, ์ทจ์•ฝ์  ์ œ๋ณด์ž์ธ j0vsec ๊ฐ€ ์ทจ์•ฝ์ ์— ๋Œ€ํ•ด ์“ด ๊ธ€[2]๊ณผ, Grafana์˜ ๊ณต์‹ ๊ธฐ์ˆ  ๋ธ”๋กœ๊ทธ์— ์ทจ์•ฝ์ ์ด ํŒจ์น˜๋˜์–ด ์ƒˆ๋กœ ๋ฆด๋ฆฌ์ฆˆ ๋˜์—ˆ๋‹ค๋Š” ๊ธ€[3]์„ ๋ฐœ๊ฒฌํ•˜์˜€์Šต๋‹ˆ๋‹ค.

ํŠธ์œ— ๋‚ด์šฉ๋งŒ์„ ๋ณด๋ฉด 2021๋…„ ๋ง์„ ์ •๋ง ๋œจ๊ฒ๊ฒŒ ๋งŒ๋“  Apache์˜ Path Traversal ์ทจ์•ฝ์ (CVE-2021-41773 & CVE-2021-42013)๊ณผ ๊ฐ™์€ ์ทจ์•ฝ์ ์ธ์ค„ ์•Œ์•˜์ง€๋งŒ, ๊ทธ๋ ‡์ง€ ์•Š์•˜์Šต๋‹ˆ๋‹ค.

j0vsec๊ฐ€ ์“ด ๊ธ€์— ๋”ฐ๋ฅด๋ฉด ํ•ด๋‹น ์ทจ์•ฝ์ ์€ go ์–ธ์–ด์˜ path.Clean ํ•จ์ˆ˜์˜ ๋‹ค์†Œ ํŠน์ดํ•œ ์ž‘๋™ ๋ฐฉ์‹์„ ์ž˜๋ชป ์ดํ•ดํ•˜๊ณ  ์‚ฌ์šฉํ•˜์—ฌ ๋ฐœ์ƒํ•˜์˜€์Šต๋‹ˆ๋‹ค. ํ•จ์ˆ˜๋ช…๋งŒ์„ ๋ฏธ๋ค„ ๋ณด์•˜์„ ๋•Œ, path.Clean ํ•จ์ˆ˜๋Š” ์ธ์ž๋กœ ๋ฐ›์€ ๊ฒฝ๋กœ๋ฅผ ๋ณด์•ˆ์ ์ธ ์ธก๋ฉด์—์„œ ์•ˆ์ „ํ•˜๊ฒŒ ๋งŒ๋“ค์–ด ์ค„ ๊ฒƒ ๊ฐ™์ง€๋งŒ, ์‹ค์ œ๋ก  ์ธ์ž๋กœ ๋ฐ›์€ ๊ฒฝ๋กœ๊ฐ€ / ๋กœ ์‹œ์ž‘ํ•ด์•ผ์ง€๋งŒ ์˜๋„ํ•œ ๋Œ€๋กœ ์ž‘๋™ ํ•ฉ๋‹ˆ๋‹ค.[4]

ํ•ด๋‹น ์ทจ์•ฝ์ ์€ ์ƒ๋‹นํžˆ ๋น ๋ฅด๊ฒŒ ํŒจ์น˜๋˜์—ˆ๋Š”๋ฐ, ๊ทธ ์ด์œ ๋Š” ๋‹ค๋ฆ„์ด ์•„๋‹Œ j0vsec ๋•Œ๋ฌธ์ด์˜€์Šต๋‹ˆ๋‹ค. ๊ทธ๋Š” ์ž์‹ ์ด Grafana์—์„œ Path Traversal ์ทจ์•ฝ์ ์„ ์ฐพ์•˜๋‹ค๋Š” ์‚ฌ์‹ค์„ ํŠธ์œ„ํ„ฐ์— ์˜ฌ๋ ธ๊ณ , ๊ทธ๋กœ ์ธํ•ด ๋‹ค๋ฅธ ๋ณด์•ˆ ์ „๋ฌธ๊ฐ€๊ฐ€ ๋™์ผํ•œ ์ทจ์•ฝ์ ์„ ์ฐพ์•„ ํŠธ์œ„ํ„ฐ์— ๊ณต๊ฐœํ•˜์˜€๊ธฐ ๋•Œ๋ฌธ์ž…๋‹ˆ๋‹ค.

j0vsec์ด ๊ธ€([2])์˜ ์„œ๋‘์— ์“ด ๊ฒƒ์ฒ˜๋Ÿผ ์ทจ์•ฝ์ ์„ ์ฐพ์•˜์„ ๋•Œ์—” ํฅ๋ถ„์„ ๊ฐ€๋ผ์•‰ํžˆ๊ณ , ์ทจ์•ฝ์ ์„ Responsible Disclousre ์ ˆ์ฐจ์— ๋”ฐ๋ผ ์กฐ์‹ฌํžˆ ๊ณต๊ฐœํ•ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.



  • ์›๊ฒฉ ์ฝ”๋“œ ์‹คํ–‰, Remote Code Execution
  • CVE-2021-44228,CVE-2021-45046, CVE-2021-45105, CVE-2021-4104, CVE-2021-44832

2021๋…„์˜ ๋งˆ์ง€๋ง‰์„ ํ™”๋ คํ•˜๊ฒŒ ์žฅ์‹ํ–ˆ๋˜ Log4j ์ทจ์•ฝ์ ์ž…๋‹ˆ๋‹ค. ์›Œ๋‚™ ํ•ซํ–ˆ๋˜ ์ทจ์•ฝ์ ์ด๋ผ ๋ชจ๋‘ ์–ด๋ ดํ’‹์ด ๋“ค์–ด๋ณด์…จ์„ ๊ฒƒ์ด๋ผ ์˜ˆ์ƒ๋ฉ๋‹ˆ๋‹ค. Log4j๋Š” ์ž๋ฐ” ๊ธฐ๋ฐ˜์˜ ๋กœ๊น… ๋ผ์ด๋ธŒ๋Ÿฌ๋ฆฌ๋กœ, Apache ๋กœ๊น… ์„œ๋น„์Šค์˜ ์ผ๋ถ€์ž…๋‹ˆ๋‹ค. ํ•ด๋‹น ์ทจ์•ฝ์ ์ด ์ด๋ ‡๊ฒŒ ๋†’์€ ํŒŒ๊ธ‰๋ ฅ์„ ๋ณด์ด๋Š” ์ด์œ ๋Š” ๋Œ€๋ถ€๋ถ„์˜ ์ž๋ฐ” ๊ธฐ๋ฐ˜ ์„œ๋น„์Šค๊ฐ€ ํ•ด๋‹น ์ทจ์•ฝ์ ์— ์˜ํ–ฅ์„ ๋ฐ›์„ ์ˆ˜ ์žˆ์Œ์—๋„ ๋ถˆ๊ตฌํ•˜๊ณ  ๋ฌด๋ ค 8๋…„์ด๋ผ๋Š” ๊ธด ๊ธฐ๊ฐ„ ๋™์•ˆ ๋ฐฉ์น˜๋˜์–ด ์™”๊ธฐ ๋•Œ๋ฌธ์ž…๋‹ˆ๋‹ค. (๋งˆ์ธํฌ๋ž˜ํ”„ํŠธ์—์„œ ๋ณด์•ˆ ์—…๋ฐ์ดํŠธ๋ฅผ ๋ฐœํ‘œํ•œ ๊ฒƒ์ด ๋” ํฐ ํŒŒ์žฅ์„ ์ผ์œผํ‚ค๋Š”๋ฐ์— ํ•œ ๋ชซ ํ–ˆ๋‹ค๋Š” ์ƒ๊ฐ๋„ ๋“ญ๋‹ˆ๋‹ค.)

์ทจ์•ฝ์ ์€ Log4j์˜ Java Naming and Directory Interface, JNDI Lookup ๊ธฐ๋Šฅ์—์„œ ๋ฐœ์ƒํ•ฉ๋‹ˆ๋‹ค. ์‚ฌ์šฉ์ž๊ฐ€ ์ถœ๋ ฅํ•˜๋Š” ๋กœ๊ทธ์— ์ผ๋ฐ˜์ ์ธ ๋กœ๊น… ๋ฌธ์ž์—ด ๋Œ€์‹  JNDI๊ตฌ๋ฌธ์„ ์ž…๋ ฅํ•˜๋ฉด, ํ•ด๋‹น ๋ฌธ์ž์—ด์ด JNDI ๋ฌธ๋ฒ•์œผ๋กœ ํ•ด์„๋˜์–ด ๊ฐ์ฒด๋‚˜ ํด๋ž˜์Šค๋ฅผ ๋ถˆ๋Ÿฌ์˜ฌ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•ด๋‹น ๊ธฐ๋Šฅ์€ ์‚ฌ์šฉ์ž๊ฐ€ ์ถœ๋ ฅํ•˜๋Š” ๋ชจ๋“  ๋กœ๊ทธ์— ์ ์šฉ๋˜๊ธฐ ๋•Œ๋ฌธ์— ๊ณต๊ฒฉ์ž๊ฐ€ ๋ณธ์ธ ์„œ๋ฒ„์˜ ๊ณต๊ฒฉ์ฝ”๋“œ๋ฅผ ํด๋ž˜์Šค๋‚˜ ๊ฐ์ฒด ํ˜•ํƒœ๋กœ ๋ถˆ๋Ÿฌ์˜ค๋Š” JNDI ๊ตฌ๋ฌธ์„ ์‚ฝ์ž…ํ•˜๋ฉด ํ•ด๋‹น ์ฝ”๋“œ๊ฐ€ Log4j๋ฅผ ํ†ตํ•ด ์‹คํ–‰๋ฉ๋‹ˆ๋‹ค.

์ด ์ทจ์•ฝ์ ์€ ๊ทธ ์‹ฌ๊ฐ์„ฑ์„ ์ธ์ •๋ฐ›์•„ ํ•ด์™ธ, ๊ตญ๋‚ด ํ•  ๊ฒƒ ์—†์ด ์ทจ์•ฝ์ ์ด ์—†๋Š” ์ตœ์‹ ๋ฒ„์ „์œผ๋กœ ์—…๋ฐ์ดํŠธํ•  ๊ฒƒ์„ ๊ฐ•๋ ฅํžˆ ๊ถŒ๊ณ ํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค[1] [2]. ์ด๋ฒˆ ์‚ฌ๊ฑด์„ ํ†ตํ•ด ๋‹ค๋ฅธ ์„œ๋น„์Šค๋‚˜ ๋ผ์ด๋ธŒ๋Ÿฌ๋ฆฌ๋ฅผ ์‚ฌ์šฉํ•  ๋•Œ์—๋Š” ์ทจ์•ฝ์ ์ด ์žˆ๋Š”์ง€, ๋‚ฎ์€ ๋ฒ„์ „์„ ์‚ฌ์šฉํ•˜๊ณ  ์žˆ๋Š”์ง€ ๊ฒ€์‚ฌํ•˜๋Š” ๊ฒƒ์ด ์•ˆ์ „ํ•œ ์„œ๋น„์Šค๋ฅผ ๋งŒ๋“œ๋Š” ๋ฐ์— ์ค‘์š”ํ•œ ์—ญํ• ์„ ํ•œ๋‹ค๋Š” ์‚ฌ์‹ค์„ ๋‹ค์‹œ ํ•œ๋ฒˆ ๊ธฐ์–ตํ•˜๋Š” ๊ณ„๊ธฐ๊ฐ€ ๋˜์…จ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค.



๋ณธ ๊ธ€์€ 2021๋…„ ํ•˜๋ฐ˜๊ธฐ์— ๋ฐœ์ƒํ•œ Hot๐Ÿ”ฅ ํ–ˆ๋˜ CVE์™€ ๋ณด์•ˆ ์‚ฌ๊ฑด/์‚ฌ๊ณ ๋ฅผ ๋‹ค๋ฃจ์–ด๋ณด์•˜์Šต๋‹ˆ๋‹ค. 2021๋…„ ๋งˆ๋ฌด๋ฆฌ ์ž˜ํ•˜์‹œ๊ณ  ๋‹ค๊ฐ€์˜ค๋Š” 2022๋…„์—๋Š” ๋ชจ๋‘ ํ–‰๋ณตํ•œ ์ƒˆํ•ด ๋˜์‹œ๊ธฐ ๋ฐ”๋ž๋‹ˆ๋‹ค. ์ƒˆํ•ด ๋ณต ๋งŽ์ด ๋ฐ›์œผ์„ธ์š” ! ๐Ÿฅณ
๐ŸŽ‰Happy New Year!๐ŸŽ‰


About Theori

ํ‹ฐ์˜ค๋ฆฌ(Theori)๋Š” ํ˜์‹ ์ ์ด๊ณ  ํƒ„ํƒ„ํ•œ ๊ธฐ์ˆ ๋ ฅ์œผ๋กœ ๋‹ค์–‘ํ•œ ๋‚œ์ œ๋ฅผ ํ•ด๊ฒฐํ•˜๋Š” ์‚ฌ์ด๋ฒ„๋ณด์•ˆ R&D ์Šคํƒ€ํŠธ์—…์ž…๋‹ˆ๋‹ค. ํ‹ฐ์˜ค๋ฆฌ๋Š” 2016๋…„์— ์„ค๋ฆฝ๋˜์–ด ์ •๋ถ€ ๊ธฐ๊ด€ ๋ฐ ๊ธฐ์—… ๊ณ ๊ฐ๋“ค์„ ๋Œ€์ƒ์œผ๋กœ ์ฐจ๋ณ„์„ฑ ์žˆ๋Š” ๋ณด์•ˆ ์ปจ์„คํŒ… ๋ฟ๋งŒ ์•„๋‹ˆ๋ผ, ๋‚œ์ œ๊ธ‰ ๋ณด์•ˆ ์—ฐ๊ตฌ ํ”„๋กœ์ ํŠธ ๋“ฑ ์•„๋ฌด๋‚˜ ํ•˜์ง€ ๋ชปํ•˜๋Š” ์ผ๋“ค์„ ๋…๋ณด์ ์œผ๋กœ ํ•ด๋‚ด๋ฉฐ ๋†’์€ ํ€„๋ฆฌํ‹ฐ์˜ ์—ฐ๊ตฌ ๊ธฐ๋ฐ˜ ์„œ๋น„์Šค๋ฅผ ์ œ๊ณตํ•ฉ๋‹ˆ๋‹ค. ์„ธ๊ณ„์  ๊ธฐ์ˆ ๋ ฅ์„ ๋ฐ”ํƒ•์œผ๋กœ ๊พธ์ค€ํ•˜๊ณ  ํ˜์‹ ์ ์ธ ์—ฐ๊ตฌ๊ฐœ๋ฐœ ๊ณผ์ •์„ ํ†ตํ•ด ํ˜„์žฌ์˜ ๊ธฐ์ˆ ์ด๋‚˜ ํ•ด๊ฒฐ์ฑ…์— ๋งŒ์กฑํ•˜์ง€ ์•Š๊ณ  ์ƒˆ๋กœ์šด ๊ธฐ์ˆ ๊ณผ ์ฐฝ์˜์ ์ธ ์•„์ด๋””์–ด๋ฅผ ์œ„ํ•ด ํ•ญ์ƒ ๋…ธ๋ ฅํ•˜๋Š” ์—ฐ๊ตฌ ์ค‘์‹ฌ์  ์ง‘๋‹จ์ž…๋‹ˆ๋‹ค. ์‚ฌ์ด๋ฒ„ ๋ณด์•ˆ ๊ต์œก, ๋ณด์•ˆ ์ปจ์„คํŒ…, ๋ฒ„๊ทธ๋ฐ”์šดํ‹ฐ ์šด์˜ ๋ฐ ์‚ฌ์ด๋ฒ„ ๋ณด์•ˆ ์œ„ํ˜‘ ์ •๋ณด ์ œ๊ณต์— ๋„์›€์ด ํ•„์š”ํ•˜์‹œ๋ฉด ์–ธ์ œ๋“  ํ‹ฐ์˜ค๋ฆฌ์—๊ฒŒ ์—ฐ๋ฝ์ฃผ์„ธ์š”!

comments powered by Disqus