오픈소스 취약점 스캐너로 널리 사용되고 있는 프로젝트디스커버리의 누클리에서 치명적인 보안 취약점이 발견됐다. 해당 취약점은 CVE-2024-43405로 추적되며, CVSS 점수 7.4로 높은 심각성을 나타낸다. 이 취약점은 3.0.0 버전 이후의 모든 누클리 버전에 영향을 미치며, 3.3.2 버전 이상에서 패치됐다.

이 취약점은 서명 검증 과정과 YAML 파서가 줄 바꿈 문자를 처리하는 방식의 불일치에서 발생한다. 또한, 다중 서명 처리 방식의 문제와 결합되어 공격자가 정상적인 서명 부분을 유지하면서도 악성 콘텐츠를 템플릿에 주입할 수 있게 만든다.

누클리는 현대 애플리케이션, 인프라, 클라우드 플랫폼, 네트워크에서 보안 취약점을 탐지하기 위해 YAML 기반의 템플릿을 활용한다. 템플릿은 특정 요청을 전송하여 취약점 여부를 판단하는 방식으로 작동한다. 그러나 이번 취약점으로 인해 템플릿 서명 검증 시스템이 손상되어 악성 템플릿을 통해 호스트 시스템에서 임의의 코드를 실행할 가능성이 제기됐다.

클라우드 보안 기업 위즈는 이번 취약점을 발견하며 “누클리의 서명 검증은 템플릿을 검증하는 유일한 방법으로, 이 과정이 공격에 노출되면 템플릿 신뢰 체계가 무너질 수 있다”고 경고했다. 연구에 따르면, 공격자는 템플릿 내에 ‘\r’ 문자를 추가하거나 ‘# digest’ 줄을 조작하여 서명 검증을 우회할 수 있는 것으로 나타났다.

문제의 핵심은 정규 표현식을 활용한 서명 검증과 YAML 파서 간의 해석 불일치에 있다. 정규 표현식은 ‘\r’을 동일한 줄의 일부로 간주하지만, YAML 파서는 이를 줄 바꿈 문자로 해석한다. 이로 인해 검증 단계에서는 정상적으로 보이지만, YAML 파서에서는 악성 내용이 실행되는 상황이 발생할 수 있다. 특히 검증 논리가 첫 번째 ‘# digest’ 줄만 확인하고, 이후 줄은 무시하면서도 실행 가능하도록 남기는 방식이 문제를 악화시켰다.

프로젝트디스커버리는 취약점 공개 이후 2024년 9월 4일, 누클리 3.3.2 버전에서 해당 문제를 해결했다. 현재 최신 버전은 3.3.7이다.

위즈는 “신뢰할 수 없는 커뮤니티 템플릿을 실행하거나 템플릿을 적절히 검증하지 않는 환경에서는 이 취약점이 악용될 가능성이 높다”며 “이는 명령어 실행, 데이터 탈취, 시스템 손상 등으로 이어질 수 있다”고 경고했다.

보안 전문가들은 사용자가 최신 버전으로 즉시 업데이트할 것을 강력히 권고했다. 또한, 검증되지 않은 커뮤니티 템플릿의 사용을 피하고, 신뢰할 수 있는 템플릿만 실행하도록 주의해야 한다고 당부했다.