2024 상반기 Hot🔥보안 사건 사고

개요

2024년도 상반기에도 많은 보안 사건/사고가 있었습니다. 이번 포스트에서는 티오리 Security Assessment 팀의 연구원들이 선정한 2024년 상반기의 주요 보안 사건/사고를 살펴보겠습니다.

1. LockBit Takedown

가장 먼저 살펴볼 사건은 LockBit Takedown입니다. LockBit은 2020년에 활동을 시작한 Ransomware as a Service(RaaS)로, 세계에서 가장 많이 사용되는 랜섬웨어 중 하나입니다. LockBit 랜섬웨어에 의해 발생한 피해자는 2,500명이 넘고, 그들이 입은 피해액은 1억 5천만 달러가 넘는 것으로 알려져 있습니다.

LockBit은 랜섬웨어의 이름이지만, 일반적으로는 LockBit 랜섬웨어를 관리하는 범죄 조직도 LockBit이라고 부르고 있습니다. 저번 2023 Hot🔥 보안 사건 사고 — 상반기에서도 소개해드렸던 LockBit 랜섬웨어 조직이 바로 이 LockBit 랜섬웨어를 관리하는 범죄 조직입니다.

2024년 2월 20일, 미국과 영국을 포함한 여러 국가의 수사 기관들이 공조하여 LockBit 랜섬웨어 조직을 장악했습니다.

LockBit 조직의 수장으로 알려진 LockBitSupp은 입장문에서 PHP 8.1.2 버전을 업데이트하지 않은 서버가 탈취되었다고 밝히며, 수사 기관들이 CVE-2023–3824 또는 0-day 공격을 사용했을 가능성을 제기했습니다.

CVE-2023–3824는 phar(PHP Archive) 파일을 읽을 때 발생하는 버퍼 오버플로우 취약점으로, phar 내부 파일 이름의 길이에 대한 검증이 미흡하여 발생합니다. 해당 CVE의 PoC는 아래와 같습니다.

$phar = new Phar('myarchive.phar');
$phar->startBuffering();
$phar->addFromString(str_repeat('A', PHP_MAXPATHLEN - 1).'B', 'This is the content of the file.');
$phar->stopBuffering();
?>
$handle = opendir("phar://./myarchive.phar");
$x = readdir($handle);
closedir($handle);
var_dump($x);
?>

LockBitSupp에 따르면, 수사 기관은 이번 장악을 통해 웹 서버의 전체 소스 코드와 LockBit 전체 복호화 키의 2.5%에 해당하는 약 1,000개의 복호화 키를 획득했습니다. 하지만, 이러한 성과에도 불구하고 LockBit은 5일 만에 웹사이트를 복구하고 활동을 재개했습니다.

LockBitSupp의 정체에 대한 이야기도 있었습니다. 미국 국무부는 LockBitSupp의 정체를 러시아 국적의 Dmitry Yuryevich Khoroshev라고 밝히며, 최대 천만 달러(한화 약 139억원)의 현상금을 제시했습니다. 하지만, Khoroshev는 Click Here 팟캐스트와의 인터뷰에서 자신이 LockBitSupp이 아니라고 주장했습니다. 그러나 이후 FBI는 2024년 보스턴 사이버 보안 컨퍼런스에서 Khoroshev가 LockBit의 수장임을 다시 한번 밝히고, 자신들이 7,000개의 복호화 키를 확보했다고 발표했습니다.

랜섬웨어 조직 장악을 위한 수사 기관의 노력이 있었지만, LockBit이 서버를 장악당한 뒤에도 바로 활동을 재개한 만큼, 기업/기관/개인은 랜섬웨어 공격에 계속해서 대비해야 합니다. 중요한 데이터를 주기적으로 백업하고 환경을 분리함으로써 랜섬웨어 공격의 피해를 최소화할 수 있습니다. 주기적인 모니터링과 사용자의 주의가 랜섬웨어 공격에 대한 최선의 방어입니다.

Reference

• https://www.fbi.gov/news/speeches/fbi-cyber-assistant-director-bryan-vorndran-s-remarks-at-the-2024-boston-conference-on-cyber-security

• https://www.state.gov/transnational-organized-crime-rewards-program-2/lockbit-ransomware-administrator-dmitry-yuryevich-khoroshev/

• https://www.europol.europa.eu/media-press/newsroom/news/new-measures-issued-against-lockbit

• https://x.com/vxunderground/status/1761506370656825531

• https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

• https://therecord.media/lockbitsupp-interview-ransomware-cybercrime-lockbit

• https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv

2. XZ Backdoor

다음으로 살펴볼 사건은 XZ Backdoor입니다. XZ Backdoor는 XZ 프로젝트의 메인테이너 중 하나가 프로젝트에 백도어를 심었던 사건으로, 2024년 상반기에 가장 이슈가 되었던 보안 사건/사고입니다.

XZ는 유닉스 및 윈도우 운영체제에서 사용하는 압축 유틸리티로, LZMA2 압축 알고리즘을 사용하여 높은 압축률을 제공하는 것이 특징입니다. XZ 유틸리티는 많은 이용자들이 사용하는 오픈소스 프로젝트 도구였기에 이번 백도어는 큰 이슈가 되었습니다.

백도어를 심은 메인테이너는 Jia Tan(JiaT75)으로 밝혀졌습니다. Jia Tan은 2021년부터 XZ 프로젝트에 패치를 제출하며 기여하기 시작했습니다. 그는 꾸준히 패치를 보내며 신뢰를 쌓았고, 2023년 1월에 Lasse Collin으로부터 메인테이너 권한을 부여 받았습니다. 이후 Jia Tan은 프로젝트에서 더 큰 역할을 맡게 되었는데, 이 시점부터 백도어를 교묘하게 업데이트에 추가하고, 리눅스 커뮤니티에 릴리즈 업데이트를 재촉하였습니다.

이번에 밝혀진 XZ 백도어는 XZ Utils 5.6.0/5.6.1 버전에 영향을 주는 것으로 알려졌습니다(참고: CVE-2024–3094). 백도어를 이용하면, sshd에서 사용하는 RSA_public_decrypt 함수를 하이재킹하여 sshd 서비스의 인증서 인증을 우회하고 원격 명령을 실행할 수 있습니다. 백도어는 정교하고 복잡하게 난독화되어 준비에 오랜 시간이 필요했을 것이라는 추정이 있었는데, 실제로 공격자가 해당 백도어를 프로젝트에 삽입하기 위해 최소 2년의 준비를 한 것으로 밝혀졌습니다. 백도어의 정교함 때문에, Jia Tan의 계정이 탈취되었거나, Jia Tan 혼자가 아닌 단체가 이 백도어 악성코드를 준비했을 가능성도 제기된 바 있습니다.

백도어는 2024년 3월 29일 Microsoft의 소프트웨어 엔지니어 Andres Freund가 마이크로벤치마킹을 수행하는 중 발견하여 제보했습니다. Andres는 마이크로벤치마킹을 통해 sshd 프로세스의 CPU 사용량이 높은 것을 발견했고, liblzma 라이브러리 프로파일링을 통해 CPU 시간의 대부분이 백도어가 숨겨져 있던 liblzma 라이브러리에 사용되는 것을 확인했습니다.

XZ에 백도어가 있다는 사실이 밝혀진 이후, 많은 해커 및 개발자들이 해당 악성 코드를 분석했습니다. thesamesam은 자신의 gist에 XZ 관련 분석 결과를 정리하여 공유하였고, 해당 글을 통해 세계의 해커들과 분석 과정을 공유한 덕에 XZ 백도어를 빠르게 분석할 수 있었습니다. 또한, knownsec 404 team을 비롯한 여러 매체에서 XZ 5.6.0/5.6.1 버전에 삽입된 백도어의 동작 과정을 분석한 내용을 공개했습니다. 아래는 Thomas Roccia가 공유한 XZ 사건을 설명하는 사진입니다.

위 사진에서 알 수 있듯이, m4/build-to-host.m4 파일을 통해 XZ 5.6.0/5.6.1 버전에 악성 코드가 삽입되었습니다. 해당 파일은 빌드 프로세스에서 실행되는 매크로로, 악성 코드가 포함된 바이너리를 실행할 수 있게 설계되었습니다.

첫 번째 단계에서는 특수값 매핑을 통해 tests/files/bad-3-corrupt_lzma2.xz 파일을 복호화하며, 이 과정에서 악성 코드는 복호화된 파일에 삽입되어 실행됩니다.

두 번째 단계에서는 test/files/good-large-compressed.lzma 파일에서 추출된 데이터가 liblzma_la-crc64-fast.o 파일의 컴파일 및 링킹 과정에 포함됩니다. 이 단계에서는 test/files/ 디렉토리에 존재하는 파일들의 서명을 확인하고, 탐지된 파일들의 세그먼트를 병합한 후, 바이트 매핑을 통해 복호화함으로써 데이터를 실행합니다. 암호화된 백도어는 m4/build-to-host.m4 파일에서 실행되도록 변경됩니다.

공격자는 백도어의 은밀한 동작을 위해, sshd에서 사용하는 RSA_public_decrypt 함수를 하이재킹하는 복잡한 구현 방식을 사용했습니다. 공격자는 XZ Utils 소스 코드에 백도어를 숨기고, 컴파일 스크립트 수정을 통해 컴파일 과정에서 liblzma5.so 라이브러리에 백도어 코드를 추가했습니다. 이후 sshd 시작 시 liblzma5.so 라이브러리를 간접적으로 불러오게 하였고, IFUNC와 rtdl-audit 메커니즘을 이용하여 RSA_public_decrypt 함수의 하이재킹을 구현했습니다. 공격자는 해당 함수의 내부 동작을 변경하여, 인증을 통과한 경우 원격 코드를 실행할 수 있는 메커니즘을 추가했습니다. 또한, 인증 서명 검증 과정에 생성한 공개키를 추가하여, 공격자가 자신의 비밀키로 sshd 인증을 통과할 수 있도록 했습니다.

XZ 백도어에 대응하기 위해서는, 먼저 XZ 유틸리티가 백도어의 영향을 받는 5.6.0/5.6.1 버전인지 확인해야 합니다. 해당 버전을 사용하는 경우, 다른 안정적인 버전으로 되돌리거나 보안 패치가 적용된 최신 버전으로 업데이트함으로써 문제를 해결할 수 있습니다.

벤더의 보안 전문가들은 이번 이슈에 보다 체계적으로 대응할 필요가 있습니다. 회사의 자산 목록들의 취약한 버전 사용 여부를 조사하고, 상황에 맞는 적절한 조치(예: 신속한 롤백, 네트워크 차단)를 취해야 합니다. 또한, 시스템 로그와 네트워크 트래픽을 모니터링하여 해당 이슈가 악용이 된 이력이 있는지 확인해야 합니다.

이번 이슈 이전에도, 오픈소스에 백도어를 심었던 사례는 많이 있었습니다. 대표적으로, PHP Git 저장소(Repository)에 백도어를 심었던 사건이 있습니다. 오픈소스 소프트웨어에 백도어 악성 코드가 심어진 경우, 공격자를 포함해 해당 악성 코드의 존재를 아는 모든 이용자가 시스템에 무단으로 접근하여 데이터를 유출하거나 시스템에 영향을 줄 수 있습니다. 또한, 다수의 기업에서 이용하는 오픈소스일 경우에는 하나의 저장소에 심은 백도어가 다수의 기업을 공격하는 공급망 공격(Supply chain attack)으로 쉽게 연결될 수 있습니다.

때문에 오픈소스 소프트웨어의 백도어 문제는 그 파급력과 심각성이 매우 높습니다. 이런 위협은 모든 이용자에게 큰 피해를 주고, 해당 오픈소스 프로젝트의 신뢰성을 크게 훼손할 수 있습니다. 따라서 오픈소스 담당자들은 메인테이너를 비롯한 관리자를 신중하게 선정해야 합니다.

XZ 백도어 사건은 오픈소스 소프트웨어 보안 관리의 중요성을 일깨워주는 사례입니다. 오픈소스 소프트웨어에 대해 최신 보안 업데이트를 지속적으로 적용하고, 의심스러운 활동을 모니터링하여 시스템을 보호하는 것이 중요합니다. 특히, 빌드 프로세스에서 사용되는 스크립트와 설정 파일을 철저히 검토하여 악성코드가 포함되지 않도록 해야 합니다.

Reference

• https://github.com/tukaani-project/xz

• https://seclists.org/oss-sec/2024/q1/272

• https://boehs.org/node/everything-i-know-about-the-xz-backdoor

• https://research.swtch.com/xz-timeline

• https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know

• https://medium.com/@knownsec404team/analysis-of-the-xz-utils-backdoor-code-d2d5316ac43f

3. Telegram RCE

스마트폰이 보편화된 후, 많은 사람들이 하나 또는 두 개 이상의 메신저 애플리케이션(이하 앱)을 사용하고 있습니다. 이번 이슈가 발견된 Telegram은 세계에서 4번째로 많은 이용자(약 9억 명)가 사용하는 메신저 앱입니다.

올해 4월, X(트위터)에서 윈도우 용 Telegram에서 원격 코드 실행(RCE)이 가능하다는 영상이 올라왔습니다.

해당 영상은 윈도우용 Telegram의 채팅 창에서 동영상을 누르자 계산기가 실행되는 모습을 담고 있습니다. 영상이 올라온 후, Telegram 측은 "그런 취약점이 존재한다는 것을 확인할 수 없다"며 동영상이 거짓일 가능성이 높다고 반박했습니다.

그러나 다음 날, XSS 해킹 포럼에 해당 취약점의 Proof of Concept (PoC)가 공개되었습니다. PoC는 소스코드 상의 오타로 인하여 .pyzw 파일 전송 시 보안 경고 창을 우회할 수 있는 취약점을 이용하였습니다. 그 결과, .pyzw 파일을 전송할 때 MIME type을 video/mp4으로 변경하여 동영상을 보낸 것처럼 위장할 수 있었습니다.

Telegram은 오타가 난 부분의 소스 코드를 수정하였고, 해당 취약점이 발현을 막기 위해 서버에서 .pyzw 파일 전송 시 untrusted 확장자를 추가하여 파일을 보내도록 하였습니다. 이 패치는 파일이 Python에서 자동 실행되는 것을 막기 위해, 어떤 프로그램을 사용하여 파일을 열 것인지 확인하는 절차를 추가합니다.

이번에 살펴본 Telegram RCE는 개발자의 사소한 실수(오타)로 인하여 발생하였습니다. 오타는 개발 과정에서 흔히 발생할 수 있으므로, 개발자는 주의를 기울여 파일의 이름을 작성하고 코드 검토 및 테스트를 강화해야 합니다. 또한, 사용자는 신뢰할 수 없는 소스에서 오는 사진, 동영상, 파일을 열거나 다운로드하지 않도록 주의해야 하며, 보안 문제 예방을 위해 정기적으로 프로그램을 업데이트해야 합니다.

Reference

• https://www.bleepingcomputer.com/news/security/telegram-fixes-windows-app-zero-day-used-to-launch-python-scripts/

• https://x.com/phantmradar/status/1778403337756365267

• https://www.boannews.com/media/view.asp?idx=128844&direct=mobile

• https://medium.com/@0xrave/how-a-simple-typo-in-telegrams-code-unleashed-remote-code-execution-fdc5156994e6

• https://infosecwriteups.com/typo-trouble-exploring-the-telegram-python-rce-vulnerability-b7bc8a12c9ba

• https://github.com/telegramdesktop/tdesktop/commit/11b57ff7d3b61684daf03b350d90e5f8d68c24b1

4. XSS in PDF.js

지난 2024년 5월 20일 Codean Labs에서 PDF.js의 XSS 취약점(CVE-2024–4367)을 발표했습니다. PDF.js는 Mozilla Corporation이 주도하고 있는 오픈소스 프로젝트로, HTML5 canvas element를 사용하여 PDF 렌더링을 지원합니다. 현재 파이어폭스와 웹 애플리케이션, electron 기반의 애플리케이션을 포함한 다양한 서비스에서 PDF.js를 사용하고 있습니다.

해당 취약점은 폰트를 렌더링하는 과정에서 발생합니다. PDF는 다수의 폰트들을 지원하기 위해 PDF 표준에 정의된 폰트 외의 폰트들에 대한 정보를 stream으로 전달 받거나, 메타데이터를 통해서 전달 받아 렌더링 할 수 있도록 하고 있습니다. 메타데이터를 이용해 폰트를 렌더링할 경우 메타데이터로 전달된 glyph를 페이지에 렌더링하는데, 이때 최적화를 위해 아래와 같이 pre-compile된 함수를 생성합니다.

// If we can, compile cmds into JS for MAXIMUM SPEED...
if (this.isEvalSupported && FeatureTest.isEvalSupported) {
  const jsBuf = [];
  for (const current of cmds) {
    const args = current.args !== undefined ? current.args.join(",") : "";
    jsBuf.push("c.", current.cmd, "(", args, ");\n");
  }
  // eslint-disable-next-line no-new-func
  console.log(jsBuf.join(""));
  return (this.compiledGlyphs[character] = new Function(
    "c",
    "size",
    jsBuf.join("")
  ));
}

위 코드는 페이지에 폰트를 적용하기 전에 실행해야 하는 코드를 함수를 동적으로 생성하고 있습니다. 결과적으로는 아래와 같이 c(CanvasRenderingContext2D)를 포맷팅합니다.

(function anonymous(c,size
) {
c.save();
c.transform(0.1,0,0,0.1,0,1);
c.scale(size,-size);
c.restore();
})

transform에는 PDF에서 FontMatrix 배열로 전달된 폰트의 glyph 정보가 들어갑니다. 이때 FontMatrix에 문자열이 존재하는지 검증하지 않기 때문에, 임의 자바스크립트 코드의 삽입이 이루어져 폰트가 적용되기 전에 임의 코드가 실행됩니다.

/FontMatrix [0.1 0 0 0.1 0 (1\);
debugger
//)]

예를 들어, 공격자가 위와 같은 FontMatrix를 PDF의 폰트 정보에 삽입할 경우, pre-compile된 함수에 debugger를 실행하는 코드가 추가됩니다. PDF 렌더링 결과로 pre-compile된 함수가 실행된 모습은 아래와 같습니다.

해당 취약점은 현재 패치가 이루어져 Firefox≥126, Firefox ESR≥115.11, PDF.js≥4.2.67으로 업데이트하여 대응할 수 있습니다. 의존성 문제가 발생할 수 있기 때문에, PDF.js의 wrapper 라이브러리(예: react-pdf)에서도 적절한 패치가 이루어졌는지 확인해야 합니다. 만약 업데이트를 할 수 없는 상황이라면, isEvalSupported 옵션을 false로 설정하여 취약한 코드가 실행되지 않도록 설정하는 방법도 있습니다.

해당 취약점은 Akasec CTF에서 문제로 출제되기도 하였습니다. 직접 문제를 풀어보면서, 취약점을 확인하고 이해하는데 도움을 받을 수 있습니다.

Reference

• https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/

• https://www.youtube.com/watch?v=KmP7pbcAl-8

5. Git Clone Bug with symlinks

Git은 리눅스를 개발한 리누스 토르발스가 리눅스 커널 소스코드 관리를 위해 만든 형상 관리 도구입니다. 리누스 토르발스가 2주만에 완성시켰던 Git은 계속된 발전 결과 현재 전 세계에서 가장 널리 사용되는 형상 관리 도구가 되었습니다.

대부분의 개발자는 여러가지 이유로 다른 사람이 만든 Git 저장소를 복제하게 되는데, 복제만으로 임의의 악성 명령어 실행이 가능하다면 개발 커뮤니티에 큰 혼란이 생길 것입니다.

최근 발견된 CVE-2024–32002 취약점은 해당 위험이 현실화된 사례입니다. 해당 취약점을 이용하면 공격자가 악의적으로 조작된 Git 저장소를 만들어, 다른 개발자가 이를 git clone — recurse-submodules 명령어를 이용하여 복제할 때 Remote Code Execution (RCE) 취약점을 유발할 수 있습니다.

해당 취약점은 Git의 서브모듈 처리 방식 및 대소문자를 구분하지 않는 파일 시스템의 특성을 교묘하게 이용합니다. 공격자는 서브모듈 경로와 동일한 이름의 심볼릭 링크를 만들어 Git 자체의 정보를 담고 있는 .git 디렉토리에 접근하고, 이를 통해 악성 코드가 포함된 Git 훅을 실행시킬 수 있습니다.

이러한 취약점은 개발자들이 일상적으로 수행하는 저장소 복제 작업만으로도 시스템을 위험에 노출시킬 수 있어 특히 위험합니다. 따라서 개발자들은 항상 신뢰할 수 있는 출처의 저장소만을 복제해야 하며, Git 클라이언트를 최신 버전으로 유지할 필요가 있습니다.

해당 CVE와 Git 패치를 분석한 Amal Murali의 글에서 상세한 분석과정과 함께 취약점 PoC를 담고 있는 Github 저장소 링크를 확인할 수 있습니다.

Reference

• https://amalmurali.me/posts/git-rce/

• https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d

6. Chrome & Safari XXE

XML external entity (XXE) 공격은 악의적으로 조작된 XML 입력을 XML 처리 애플리케이션에 제공하여, XML 파서가 개발자의 의도와 다르게 동작하도록 유도하는 공격 기법입니다. 보통 XML의 external entity 기능을 악용하여 공격하기 때문에 XXE라는 이름이 붙여졌습니다.

XML에서는 entity라고 부르는 특정 문자열에 대한 단축어 지정 기능을 제공합니다. 예를 들면 아래와 같은 사용이 가능합니다.

// XML 문서 타입 정의에 작성
<!ENTITY writer "someone@theori.io">
<!ENTITY copyright "Copyright Theori.">

// XML 본문에 작성
<author>&writer; &copyright;</author>

XML이 해석되는 과정에서 아래와 같이 entity가 확장됩니다.

<author>someone@theori.io Copyright Theori.</author>

XML이나 XML의 하위 집합인 HTML에서 자주 사용하는 <, >도 해당 기능을 사용하여 구현된 entity입니다.

entity는 위에서 설명한 것처럼 문서 타입 정의에 단축어를 직접 작성하여 선언하는 internal entity와, 문서 타입 정의에 선언되어 있지만 단축어는 외부에 작성되어 있는 external entity가 있습니다. external entity의 예시는 아래와 같습니다.

// XML 문서 타입 정의에 작성
<!ENTITY writer ​SYS​TEM "http://example.com/email">

// XML 본문에 작성
<author>&writer;</author>

XML이 해석되는 과정에서 external entity가 선언되어 있기 때문에 http://example.com/email로 요청을 전송하여 해당 내용을 읽어 저장하고, XML 본문의 내용을 확장합니다. 이때 http 프로토콜 외에도 file 프로토콜을 사용하여 특정 위치의 파일을 읽을 수 있습니다.

XML을 해석하는 컴퓨터 내부의 임의 파일을 읽거나, 외부로 임의 요청을 전송하고 그 결과를 확인할 수 있기 때문에 XXE 공격은 한 때 웹 서버 장악에 널리 사용되던 파급력이 높은 취약점이었습니다. 하지만 보안의 중요성이 커지고, 개발자들의 대응과 더불어 XML 라이브러리 단에서 XXE 취약점과 관련된 기능을 제한하는 옵션을 제공하며 어느 순간부터 발생 빈도가 많이 줄었다고 알려져 있었습니다.

CVE-2023–4357, CVE-2023–40415는 이런 생각을 바꾸게 한 취약점입니다. 일반적으로 XXE 공격은 웹 서버를 대상으로 이루어지지만, 해당 취약점들은 각각 Chrome과 Safari를 대상으로 XXE 공격을 시도했습니다. 단순하게 생각해보면, 웹브라우저는 XML을 해석하여 보여주는 대표적인 애플리케이션이기에 XXE 공격에 취약할 수 있다는 것을 예상할 수 있습니다. 하지만 오랜 시간 동안 보안에 대한 연구와 개선이 이루어진 웹브라우저들이 이런 기본적인 공격에 취약할 것이라고 생각하는 사람들은 많지 않았습니다.

Igor Sak-Sakovskiy가 발견한 이번 취약점들(CVE-2023–4357, CVE-2023–40415)은 웹브라우저 역시 XML을 해석하고 처리하는 애플리케이션인 이상, XXE 취약점에 영향을 받을 수 있다는 것을 보여주었습니다.

CVE-2023–4357(Chrome)과 CVE-2023–40415(Safari)는 각각 Chrome과 Safari 브라우저에서 발견된 XXE 취약점입니다. 해당 취약점들은 XML의 표현 방식을 지정할 때 사용하는 eXtensible Stylesheet Language (XSL)을 이용하는 과정에서 발견되었으며, 브라우저의 XML 파싱 과정이 외부 엔티티를 적절히 제한하지 않아 발생합니다. 공격자는 이를 악용하여 로컬 파일 시스템에 접근할 수 있습니다.

이번 발견은 XXE 공격이 여전히 현재 진행형의 위협이며, 가장 널리 사용되는 최신 웹브라우저에서도 발생할 수 있음을 보여줍니다. 이는 보안 전문가들에게 XXE 취약점에 대한 지속적인 주의와 점검의 필요성을 상기시켜 주었습니다.

Igor Sak-Sakovskiy의 글에서 취약점을 찾고자 한 동기부터, ChatGPT와의 상호작용을 통해 자신의 가설들에 대한 PoC를 작성하고 발전시켜 나간 과정들을 상세하게 확인할 수 있습니다.

Reference

• https://portswigger.net/web-security/xxe

• https://www.w3schools.com/xml/xml_dtd_entities.asp

• https://swarm.ptsecurity.com/xxe-chrome-safari-chatgpt/

마치며

본 포스팅을 통해 2024년 상반기에 발생한 보안 사건/사고를 다루어 보았습니다. 2024년 하반기에도 티오리 Security Assessment 팀은 꾸준한 사례 조사와 기술 연구를 통해 즉각적인 위협부터 잠재적인 위협까지 선제적으로 대응해나갈 예정입니다.

About Theori Security Assessment

티오리 Security Assessment 팀은 실제 해커들의 오펜시브 보안 감사 서비스를 통해 고객의 서비스와 인프라스트럭처를 안전하게 함으로써 비즈니스를 보호합니다. 특히, 더욱 안전한 세상을 위해 난제급 사이버보안 문제들을 해결하는 것을 즐기며, 오펜시브 사이버보안의 리더로서, 공격자보다 한발 앞서 대응하고 불가능하다고 여겨지는 문제를 기술중심적으로 해결합니다.