Apache Struts 2의 코드 실행 취약점 수정돼

Apache Software Foundation fixes code execution flaw in Apache Struts 2

 

Apache Software Foundation이 Struts2에 존재하는 OGNL(Object-Graph Navigation Language) 기술과 관련된 “원격 코드 실행” 취약점을 수정하기 위한 보안 업데이트를 공개했습니다.

 

CVE-2020-17530로 등록된 이 원격 코드 실행 취약점은 tag 속성 내 raw 사용자 입력을 평가 시 수행되는 강제 OGNL 평가에 존재합니다.

 

Apache Software Foundation는 권고문을 통해 아래와 같이 밝혔습니다.

 

“태그 속성의 raw 사용자 입력을 평가할 때 수행되는 강제 OGNL 평가는 S2-059와 유사하게 원격 코드 실행으로 이어질 수 있습니다.”

 

“태그의 속성 일부는 개발자가 %{...} 구문을 사용하여 강제 OGNL 평가를 적용할 경우 이중 평가를 수행할 수 있습니다.”

 

“강제 OGNL 평가를 사용할 경우 원격 코드 실행 및 보안 저하로 이어질 수 있습니다.”

 

%{…} 구문을 사용한 강제 OGNL 평가를 수행할 경우 태그의 속성이 이중 평가를 수행할 수 있게 됩니다. 신뢰할 수 없는 입력에 대한 강제 OGNL 평가를 수행할 경우 원격으로 코드를 실행할 수 있게 됩니다.

 

지난 8월, 보안 연구원들은 GitHub에서 Apache Struts2의 보안 취약점을 촉발시킬 수 있는 PoC 코드 및 익스플로잇을 발견했습니다.

 

이 두 취약점 중 하나인 CVE-2019-0230는 CVE-2020-17530과 유사했습니다.

 

CVE-2019-0230 취약점은 공격자가 영향을 받는 애플리케이션의 콘텍스트에서 원격 코드 실행으로 이어질 수 있는 악성 OGNL 수식을 보내는 방식으로 촉발될 수 있습니다.

 

취약한 애플리케이션이 가지고 있는 권한에 따라 공격자는 애플리케이션 설치, 데이터 수정 또는 삭제, 새로운 관리자 계정 만들기 등과 같은 악성 행위를 수행할 수 있습니다.

 

Apache Software Foundation은 CVE-2020-17530 취약점에 대한 해결책 또한 공개했습니다. 개발자들은 신뢰할 수 없는 입력에 대한 강제 OGNL 평가가 수행되지 않도록 해야합니다.

 

해당 취약점은 Struts 2.0.0 - Struts 2.5.25에 영향을 미치며, Struts 2.5.26에서 수정되었습니다.

 

CISA 또한 CVE-2020-17530 취약점에 대한 보안 권고를 게시했습니다.

“Apache Software Foundation은 Apache Struts 버전 2.0.0 ~ 2.5.25의 취약점을 수정하기 위한 보안 업데이트를 공개했습니다. 원격 공격자가 이 취약점을 악용할 경우 취약한 시스템을 제어할 수 있게 됩니다.”

“CISA는 사용자 및 관리자가 CVE-2020-17530 취약점에 대한 S2-061 및 보안 권고를 확인하고 필요한 업데이트 또는 해결법을 적용하도록 권장합니다.”

 

 

출처: 

https://securityaffairs.co/wordpress/112089/security/struts-2-flaw.html

https://cwiki.apache.org/confluence/display/WW/S2-061

https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2