Pivotal의 Spring 프레임워크는 웹 애플리케이션을 구축할 때 널리 사용되는 플랫폼으로 Spring 데이터 REST는 개발자가 자바 애플리케이션을 빌드할 때 기본 데이터 저장소에 RESTful API를 제공하는 추가 구성 요소 모음이다. 이러한 인터페이스들이 널리 사용되고 있다.
해당 원격 코드 실행 취약점(CVE-2017-8046)은 Semmle의 보안 연구원 Man Yue Mo가 발견했고, 지난주 이를 공개했다. Semmle 측은 “온라인 여행 예약 시스템, 모바일 애플리케이션, 인터넷 뱅킹 서비스 등 거의 모든 최신 웹 애플리케이션이 REST 인터페이스를 통해 통신하는 컴포넌트를 포함한다”고 말한다. Pivotal은 Spring Boot 2.0 업데이트의 일환으로 DATAREST-1127이라는 패치를 발표했다.
Pivotal의 자문 Semmle/lgtm은 지난 9월 해당 취약점이 발견되었다고 말했다. lgtm.com의 최고 경영자 Oege de Moor는 연구원들이 해당 취약점의 세부 정보를 공개하는데 왜 몇달이나 소요됐는지에 대해 “취약점 이슈의 심각성 때문에 Pivotal의 엔지니어링 책임자인 Brian Dussault가 모든 사용자가 업데이트할 충분한 시간을 확보할 수 있기를 바랐다. 따라서 이번 지연은 Semmle/lgtm팀이 책임에 대해 진지하게 생각했기 때문에 발생한 것이다”라고 설명했다.
이 원격 코드 실행 취약점은 Equifax 유출을 야기한 근본 원인으로 밝혀진 아파치 스트럿츠(Apache Struts)에 존재하는 취약점과 유사하기 때문에 특히 중요하다. 해당 치명적인 결함은 Pivotal Spring의 다양한 프로젝트에 영향을 미친다. 공격자는 Spring Data REST를 사용해 빌드된 응용 프로그램을 실행하는 모든 시스템에서 임의의 명령을 실행할 수 있다. 또한 RESTful API는 일반적으로 공개 접근할 수 있어, 공격자가 손쉽게 서버를 제어하고 민감한 사용자 정보를 얻을 수 있다.
Spring Data REST 컴포넌트 버전 2.5.12/2.6.7/3.0RC3 이전 버전, Spring Boot 2.0.0M4 이전 버전, Spring Data Kay-RC3 이전 버전이 해당 취약점의 영향을 받기 때문에 사용자들은 최신 버전으로 업데이트를 해야 한다.
★정보보안 대표 미디어 데일리시큐!★