0xNews - 알려진 패키지 관리자에서 보안 취약점 발견

Sonarsource 발표

https://blog.sonarsource.com/securing-developer-tools-package-managers

원격에서 개발자 시스템에 대해 직접 공격을 시작할 수 없지만 개발자가 잘못된 형식의 파일을 로드하도록 속일 수 있음

패키지 관리자 Package managers 는 응용 프로그램 개발에 필요한 종속성 연계 설치, 업그레이드, 구성을 자동화하는데 사용되는 시스템 혹은 도구의 집합을 지칭

문제가 되는 라이브러리가 저장소에 패키징되서 업데이트되는 보안 위험이 내포

종속성 혼란이나 타이포스쿼딩 typosquatting 등의 공격에서 보호하기 위해 종속성 검사를 적절하게 수행해야 함

다양한 패키지 관리자에서 새로 발견된 문제는 공격자가 피해자를 속여 악성 코드를 실행하도록 무기화할 수 있음

발견된 문제의 패키지 리스트

Composer 1.x < 1.10.23 / 2.x < 2.1.9

CVE-2021-41116 지정으로 1개는 패치 완료

Bundler < 2.2.33

CVE-2021-43809 지정, 패치 완료

Bower < 1.8.13

CVE-2021-43796 지정, 패치 완료

Poetry < 1.1.9

패치 완료

Yarn < 1.22.13

패치 완료

pnpm < 6.15.1

패치 완료

Pip 와 Pipenv

패치 진행되지 않음

현재 발견된 패키지 중 가장 심각한 것은 composer

이미 게시된 악성 패키지에 URL 을 추가하여 임의 코드 실행을 달성하기 위해 악용 가능

해당 패키지 내 찾아보기 명령에 있는 명령 인젝션 취약점 command injection

command injection 에 대한 추가 설명

https://cwe.mitre.org/data/definitions/77.html

패키지가 타이포스쿼딩 혹은 종속성 혼란 기술을 활용하는 경우 추후 라이브러리에 대한 찾아보기 명령을 실행하여 추가 공격을 시작할 수 있음

이를 통해 다음 단계에서 공격자를 위한 페이로드 검색과 같은 공격 시나리오 확장 가능

Bundler, Poetry, Yarn, Composer, Pip, Pipenv 등에서 발견

추가 인수 인젝션과 신뢰할 수 없는 검색 경로 취약점으로 인해 공격자가 악성코드가 연결된 git 이나 gemfile 과 같은 공격자가 만든 파일을 통해 코드 실행 가능

python 외 ruby 종속성과도 연계되는 문제

문제가 된 패키지들은 2021suss 9월 9일 확인 뒤 수정 후 릴리스

composer, pip, pipenv 등은 문제를 확인 하였지만 문제 해결하지 않는 것으로 결제

개발자와 개발회사는 회사의 핵심 지적 재산 자산인 소스 코드에 접속할 수 있기 때문에 문제의 패키지를 이용하여 개발을 한다면 공격자에게는 매우 매력적인 표적일 수 밖에 없음

이는 추후 공급망 공격 supply chain 에도 효과적이기 때문에 개발자와 개발회사에서는 꾸준한 관심과 관리가 필요

openLab