원격 코드 실행, 브라우저에 코드삽입 등 가능
라비드7(Rapid7) 연구원들이 NodeJS, PHP, Ruby, Java를 기반으로 한 툴에 들어있는 스웨거(Swagger) 설명서에서 취약점을 발견했다고 밝혔다.라비드7에 따르면 취약점은 스웨거(Swagger) 코드 발생기를 통해 삽입 가능한 코드 페이로드에서 발견되었다. 만약 익스플로잇 한다면 공격자는 원격에서 클라이언트나 서버에서 코드 실행이 가능해진다. 이 툴의 다른 비슷한 프로그래밍 언어 역시 취약할 가능성이 있다.
OAI가 개발한 Swager 설명서는 describing REST API를 설명하는데 기본적으로 사용되고 있다. 이 프레임워크는 API 개발, 테스트, 문서화, 시스템 정의 등의 다양한 목적으로 사용된다. 그러나 악한 목적으로 사용된다면 Swagger 문서는 악성코드가 실행되게 임베디드된 HTTP API 클라이언트나 서버를 만들어내는데 사용될 수 있다.
라피드7측은 이번 취약점의 경우 취약점이 클라이언트 측에서 동적으로 생성된 API의 형태에서 로컬 생성 코드를 만들어내 수 있는 악성 swagger 문서를 신뢰하는 것에 존재한다고 말한다.
또한 서버 측에서는 동적으로 API 클라이언트를 생성하고 서비스, 스펙을 테스트하는 swagger를 사용하는 것에 취약점이 존재한다고 전해왔다.
만약 익스플로잇된다면, 타깃 언어에 따라 취약점은 원격 코드 실행, 브라우저로의 코드삽입 등을 가능케 한다.
라피드7은 지난 4월에 Swagger.io의 API팀과 밴더에 연락을 취했고 CERT측에 6월 16일에 패치가 제공되었다. 이후 6월 23일 취약점이 공개되었고, 메타스플로잇 모듈이 공개되었다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 페소아(fesoa) 외신기자>
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지