포스팅 내용

국내외 보안동향

StackStorm DevOps 자동화 소프트웨어에서 심각한 결함 발견돼

Severe Flaw Disclosed In StackStorm DevOps Automation Software


보안 연구원들이 인기 있는 이벤트 자동화 오픈소스 플랫폼인 StackStorm에서 개발자들이 알지 못하는 사이 원격 공격자들이 타겟 서비스에서 임의 명령을 실행하도록 속일 수 있는 심각한 취약점을 발견했습니다.


StackStorm는 DevOps IFTTT로 알려져 있는데, 강력한 자동화 툴로 개발자들이 대규모 서버에서 작업을 수행하기 위한 행위, 워크플로우, 예약 작업 등을 구성할 수 있도록 서비스와 툴을 통합 및 자동화하는데 사용합니다.


IFTTT(If This Then That)란?


인터넷과 컴퓨터에 존재하는 여러 별개의 서비스와 어플들을 임의로 연동시켜주는 서비스로, IFTTT가 지원하는 앱들은 무료 계정을 보유한 누구나 쉽게 많은 서비스 연동과 자동화 가능


예를 들면, 보안 소프트웨어가 네트워크에서 침입 또는 악성 행위를 탐지한 경우 사용자는 네트워크 패킷 파일을 CloudShark와 같은 클라우드 기반 네트워크 분석 서비스에 자동으로 업로드하도록 Stackstorm 플랫폼에서 명령(IFTTT)을 설정할 수 있습니다.


StackStorm은 개발자가 자동화된 작업을 위해 통합한 원격 서버나 서비스에서 HTTP 요청부터 임의 명령어에 이르기까지 모든 작업이 실행 가능하기 때문에, 해당 플랫폼은 꽤 높은 권한으로 실행됩니다.


<이미지 출처: https://thehackernews.com/2019/03/stackstorm-security-vulnerability.html>


어플리케이션 보안 연구원인 Barak Tawily에 따르면, 이 결함은 StackStorm REST API가 CORS(cross-origin resource sharing) 헤더를 적절치 못하게 처리합니다.


그리고 웹 브라우저가 StackStorm 웹 UI에 인증된 사용자/개발자를 대신하여 크로스 도메인(cross-domain) 요청을 실행할 수 있도록 허용합니다.


<이미지 출처: https://thehackernews.com/2019/03/stackstorm-security-vulnerability.html>

 

StackStorm은 취약점에 대해 아래와 같이 설명했습니다.


“적절하지 못한 CORS 헤더 처리, 특히 StackStorm API가 ACAO(Access-Control-Allow-Origin)에 대해 반환한 것이 해당됩니다. StackStorm 2.10.3/2.9.3 이전 버전에서는, 요청의 출처를 알 수 없을 경우 null을 리턴했습니다.”


모질라의 문서에서 볼 수 있듯, null로 인해 일부 클라이언트에서 알 수 없는 출처로부터 성공적으로 요청을 보낼 수 있게 되어 StackStorm API에 대한 XSS 스타일 공격을 허용할 수 있습니다.”


ACAO 헤더의 보안은 매우 중요합니다. 도메인이 접근할 수 있는 사이트의 리소스를 명시하고 있어 잘못 구성된 경우 다른 악성 사이트들이 크로스 사이트 방식으로 리소스에 접근이 가능하기 때문입니다.


공격자가 이 취약점 (CVE-2019-9580)을 악용하기 위해서는 악의적으로 제작된 링크를 피해자에게 보내기만 하면 됩니다. 


이로써 “읽기, 업데이트, 생성 행위 및 워크플로우 수행이 가능하고, 내부 IP를 얻고 StackStorm 에이전트가 접근 가능한 장비에서 명령어 실행이 가능합니다.


연구원은 지난주 이 취약점에 대해 StackStorm에 제보했으며, 개발 팀은 즉시 문제를 인지하고 단 이틀 만에 취약점 해결을 위한 버전 2.9.32.10.3을 공개했습니다.




출처:

https://thehackernews.com/2019/03/stackstorm-security-vulnerability.html

https://stackstorm.com/2019/03/08/stackstorm-2-9-3-2-10-3/

티스토리 방명록 작성
name password homepage