3줄 요약
1. 오픈소스 취약점 스캐너 누클리에서 CVE-2024-43405 보안 취약점 발견
2. 공격자는 파서와 서명 검증 불일치를 악용해 악성 템플릿 삽입 가능
3. 취약점 발견한 클라우드 보안기업 위즈, 패치 버전 적용과 템플릿 검증 강화 권고
[보안뉴스 박은주 기자] 오픈소스 취약점 스캐너 ‘누클리(Nuclei)’에서 심각한 보안 취약점이 발견됐다. 이번 취약점(CVE-2024-43405)은 공격자가 악성 템플릿을 통해 시스템을 장악할 가능성이 있어 신속한 업데이트가 요구된다.
▲기사 내용과 무관한 사진입니다[이미지=gettyimagesbank]
누클리는 YAML 기반 템플릿을 사용해 웹 애플리케이션, 인프라, 클라우드 플랫폼, 네트워크 등의 보안 취약점을 자동으로 탐지하는 도구다. 프로젝트디스커버리(ProjectDiscovery)에서 개발한 이 도구는 전 세계 보안 전문가와 기업에서 널리 사용되고 있다.
취약점의 원인 및 기술적 분석
해당 스캐너에서 발견된 취약점은 누클리 서명 검증(Signature Verification) 및 YAML 파서(Parser) 간의 처리 불일치에서 비롯된 결함이다. CVSS 기준 7.8점을 받았다. 취약점을 발견한 클라우드 보안 기업 ‘위즈(Wiz)’에 따르면 누클리의 서명 검증 시스템과 YAML 파서가 줄 바꿈 문자(, 캐리지 리턴)를 다르게 해석하는 데서 기인했다.
YAML 파서는 ‘’을 줄 바꿈으로 처리하는 반면, 서명 검증 시스템은 이를 동일한 줄로 인식하는 문제다. 이 불일치로 인해 악성 템플릿을 우회적으로 서명 검증 단계에서 통과시킬 수 있으며, 이후 YAML 파서에서 해당 템플릿이 정상적으로 실행되면서 악성코드가 주입된다. 공격자는 템플릿에 특정 줄에 ‘’ 문자를 삽입하거나 ‘# digest’ 줄을 조작하는 방식으로 서명 검증을 우회할 수 있다.
위즈는 “서명 검증은 누클리의 템플릿 무결성을 보장하는 핵심 요소이며, 해당 시스템이 공격에 노출되면 전체 템플릿 검증 체계가 무력화될 수 있다”고 밝혔다.
실제 위협 및 공격 가능성
해당 취약점은 신뢰할 수 없는 템플릿을 사용하는 조직에서 특히 위험하다. 자동화된 보안 스캔 플랫폼 등에서 템플릿을 수정하거나 올릴 수 있는 기능이 제공되는 경우 공격자는 이를 악용해 악성 템플릿을 배포할 수 있다. 결과적으로 악성 템플릿이 시스템에 유입되면 임의 명령어 실행, 데이터 유출, 시스템 손상 등 심각한 보안 사고로 이어질 가능성이 크다.
위즈는 “이 취약점이 악용되면 조직의 주요 시스템이 공격에 노출될 수 있으며, 특히 커뮤니티에서 제공하는 템플릿을 신뢰하지 않고 철저한 검증 절차를 거쳐야 한다”고 경고했다.
취약점 보완 및 권장 대응 방안
위즈가 이번 취약점을 발견하고 보고했으며, 해당 문제는 현재 패치된 상태다. CVE-2024-43405는 누클리 3.3.2 버전에서 패치됐다. 누클리 3.0.0 버전 이후 모든 버전이 이번 취약점의 영향을 받으므로, 3.3.2 이상 버전으로 업그레이드하는 것이 요구된다.
더불어 프로젝트디스커버리는 취약점 패치와 더불어 템플릿 검증 프로세스를 강화했다. 보안전문가들은 누클리를 격리된 환경에서 실행하거나 샌드박스 환경에서 검증된 템플릿만 사용하는 등 ‘방어 심층화(Defense in Depth)’ 전략을 권장하고 있다. 이를 통해 템플릿 실행 단계에서 악성 템플릿의 위험을 최소화할 수 있다.
사용자는 누클리의 최신 버전으로 빠르게 업데이트하고, 템플릿 소스를 철저히 검증해야 한다. 신뢰할 수 없는 템플릿 사용을 지양하고, 보안 도구를 격리된 환경에서 실행하는 등 추가적인 방어책을 마련하는 것이 필수적이다.
[박은주 기자(boan5@boannews.com)]
1. 오픈소스 취약점 스캐너 누클리에서 CVE-2024-43405 보안 취약점 발견
2. 공격자는 파서와 서명 검증 불일치를 악용해 악성 템플릿 삽입 가능
3. 취약점 발견한 클라우드 보안기업 위즈, 패치 버전 적용과 템플릿 검증 강화 권고
[보안뉴스 박은주 기자] 오픈소스 취약점 스캐너 ‘누클리(Nuclei)’에서 심각한 보안 취약점이 발견됐다. 이번 취약점(CVE-2024-43405)은 공격자가 악성 템플릿을 통해 시스템을 장악할 가능성이 있어 신속한 업데이트가 요구된다.
▲기사 내용과 무관한 사진입니다[이미지=gettyimagesbank]
누클리는 YAML 기반 템플릿을 사용해 웹 애플리케이션, 인프라, 클라우드 플랫폼, 네트워크 등의 보안 취약점을 자동으로 탐지하는 도구다. 프로젝트디스커버리(ProjectDiscovery)에서 개발한 이 도구는 전 세계 보안 전문가와 기업에서 널리 사용되고 있다.
취약점의 원인 및 기술적 분석
해당 스캐너에서 발견된 취약점은 누클리 서명 검증(Signature Verification) 및 YAML 파서(Parser) 간의 처리 불일치에서 비롯된 결함이다. CVSS 기준 7.8점을 받았다. 취약점을 발견한 클라우드 보안 기업 ‘위즈(Wiz)’에 따르면 누클리의 서명 검증 시스템과 YAML 파서가 줄 바꿈 문자(, 캐리지 리턴)를 다르게 해석하는 데서 기인했다.
YAML 파서는 ‘’을 줄 바꿈으로 처리하는 반면, 서명 검증 시스템은 이를 동일한 줄로 인식하는 문제다. 이 불일치로 인해 악성 템플릿을 우회적으로 서명 검증 단계에서 통과시킬 수 있으며, 이후 YAML 파서에서 해당 템플릿이 정상적으로 실행되면서 악성코드가 주입된다. 공격자는 템플릿에 특정 줄에 ‘’ 문자를 삽입하거나 ‘# digest’ 줄을 조작하는 방식으로 서명 검증을 우회할 수 있다.
위즈는 “서명 검증은 누클리의 템플릿 무결성을 보장하는 핵심 요소이며, 해당 시스템이 공격에 노출되면 전체 템플릿 검증 체계가 무력화될 수 있다”고 밝혔다.
실제 위협 및 공격 가능성
해당 취약점은 신뢰할 수 없는 템플릿을 사용하는 조직에서 특히 위험하다. 자동화된 보안 스캔 플랫폼 등에서 템플릿을 수정하거나 올릴 수 있는 기능이 제공되는 경우 공격자는 이를 악용해 악성 템플릿을 배포할 수 있다. 결과적으로 악성 템플릿이 시스템에 유입되면 임의 명령어 실행, 데이터 유출, 시스템 손상 등 심각한 보안 사고로 이어질 가능성이 크다.
위즈는 “이 취약점이 악용되면 조직의 주요 시스템이 공격에 노출될 수 있으며, 특히 커뮤니티에서 제공하는 템플릿을 신뢰하지 않고 철저한 검증 절차를 거쳐야 한다”고 경고했다.
취약점 보완 및 권장 대응 방안
위즈가 이번 취약점을 발견하고 보고했으며, 해당 문제는 현재 패치된 상태다. CVE-2024-43405는 누클리 3.3.2 버전에서 패치됐다. 누클리 3.0.0 버전 이후 모든 버전이 이번 취약점의 영향을 받으므로, 3.3.2 이상 버전으로 업그레이드하는 것이 요구된다.
더불어 프로젝트디스커버리는 취약점 패치와 더불어 템플릿 검증 프로세스를 강화했다. 보안전문가들은 누클리를 격리된 환경에서 실행하거나 샌드박스 환경에서 검증된 템플릿만 사용하는 등 ‘방어 심층화(Defense in Depth)’ 전략을 권장하고 있다. 이를 통해 템플릿 실행 단계에서 악성 템플릿의 위험을 최소화할 수 있다.
사용자는 누클리의 최신 버전으로 빠르게 업데이트하고, 템플릿 소스를 철저히 검증해야 한다. 신뢰할 수 없는 템플릿 사용을 지양하고, 보안 도구를 격리된 환경에서 실행하는 등 추가적인 방어책을 마련하는 것이 필수적이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
