ProjectDiscovery가 개발한 오픈소스 취약점 스캐너인 Nuclei에 새로운 취약점이 발견되었습니다. 이 취약점은 공격자가 악성 코드를 템플릿에 숨기고 서명 검증을 우회할 수 있게 해, 로컬 시스템에서 실행될 수 있게 합니다. Nuclei는 약 10,000개의 YAML 템플릿을 기반으로 웹사이트의 취약점, 잘못된 설정, 노출된 설정 파일, 웹쉘, 백도어 등을 스캔합니다. 각 템플릿은 수정되어 악성 코드가 포함되지 않았음을 확인하기 위해 Nuclei가 사용하는 다이제스트 해시로 '서명'되어 있습니다.
Wiz의 연구원들이 발견한 이 새로운 취약점(CVE-2024-43405)은 템플릿이 악성 코드를 포함하도록 수정되었음에도 불구하고 Nuclei의 서명 검증을 우회할 수 있습니다. 이 취약점은 Go regex 기반의 서명 검증과 YAML 파서가 줄바꿈을 처리하는 방식에 기인합니다. 서명을 검증할 때, Go의 검증 로직은 \r을 같은 줄의 일부로 취급하지만, YAML 파서는 이를 줄바꿈으로 해석합니다. 이 불일치로 인해 공격자는 검증을 우회하는 동시에 YAML 파서에 의해 처리될 때 실행되는 악성 콘텐츠를 주입할 수 있습니다.
Wiz는 이 취약점을 2024년 8월 14일에 ProjectDiscovery에게 책임있게 공개하였고, 이는 9월 4일에 Nuclei v3.3.2에서 수정되었습니다. 이 버그의 기술적 세부사항이 공개된 이후로는 Nuclei의 이전 버전을 사용하고 있다면 최신 버전으로 업데이트하는 것이 강력히 권장됩니다. 또한, Goldenberg는 악성 템플릿으로부터의 잠재적인 악용을 방지하기 위해 Nuclei를 가상 머신이나 격리된 환경에서 사용하는 것을 추천합니다.
요약
- ProjectDiscovery가 개발한 오픈소스 취약점 스캐너 Nuclei에 새로운 취약점이 발견되었다.
- 이 취약점은 공격자가 악성 코드를 템플릿에 숨기고 서명 검증을 우회할 수 있게 한다.
- 이 취약점은 2024년 8월 14일에 Wiz에 의해 발견되었고, 9월 4일에 Nuclei v3.3.2에서 수정되었다.
- 이 버그의 기술적 세부사항이 공개된 이후로는 Nuclei의 이전 버전을 사용하고 있다면 최신 버전으로 업데이트하는 것이 강력히 권장된다.
- Goldenberg는 악성 템플릿으로부터의 잠재적인 악용을 방지하기 위해 Nuclei를 가상 머신이나 격리된 환경에서 사용하는 것을 추천한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.