상세 컨텐츠

본문 제목

광범위한 공급망 공격을 허용하는 PHP Composer 취약점 발견

국내외 보안동향

by 알약4 2021. 4. 30. 09:00

본문

 

 

A New PHP Composer Bug Could Enable Widespread Supply-Chain Attacks

 

PHP 패키지 매니저인 Composer에서 임의 명령을 실행하고 모든 PHP 패키지에 백도어를 설치할 수 있어 공급망 공격으로 이어질 수 있는 치명적인 취약점을 수정하기 위한 업데이트를 발행했습니다.

 

CVE-2021-29472로 등록된 이 보안 이슈는 422SonarSource의 연구원이 발견 및 제보했으며, 12시간 이내에 핫픽스가 배포되었습니다.

 

Composer는 지난 수요일 릴리즈 노트 버전 2.0.13, 1.10.22에서 아래와 같이 밝혔습니다.

 

“HgDriver/HgDownloader에서 발견된 명령 인젝션 취약점을 수정했으며, VCS 드라이버 및 다운로더를 강화했습니다. 아직까지 이 취약점을 실제로 악용한 공격은 찾아볼 수 없었습니다.”

 

ComposerPHP의 종속성 관리 도구로 프로젝트와 관련된 패키지를 쉽게 설치할 수 있습니다. 또한 사용자는 Composer를 통해 설치 가능한 모든 공개 PHP 패키지를 모아둔 저장소인 Packagist에서 PHP 애플리케이션을 설치할 수도 있습니다.

 

SonarSource에 따르면, 이 취약점은 패키지 소스 다운로드 URL이 처리되는 과정에 존재하며 잠재적으로 공격자가 원격 명령 인젝션을 트리거하는 시나리오로 이어질 수 있습니다.

 

연구원들은 공격자가 선택한 셸 명령을 실행하기 위해 별칭옵션을 악용하는 악성 Mercurial 저장소 URL을 만들기 위해 인수 삽입 결함을 악용했습니다.

 

SonarSource는 이에 대해 아래와 같이 설명했습니다.

 

매월 1억 건 이상의 패키지 메타 데이터 요청을 처리하는 중앙 컴포넌트에 취약점이 존재할 경우 매우 큰 영향을 미칠 수 있습니다. 해당 접근 권한을 통해 관리자의 크리덴셜을 훔치거나, 백도어가 포함된 종속성을 전달하는 타사 서버로 패키지 다운로드로 리디렉션이 가능하기 때문입니다.”

 

연구원들은 이 취약점 중 하나가 201111월부터 도입되어 Composer 개발이 시작된 10년 전부터 취약한 코드가 숨어있었던 것으로 추측된다고 밝혔습니다. 첫번째 '알파' 버전 Composer201373일 출시되었습니다.

 

“Composer.json 파일은 일반적으로 자체적으로 제어하며 소스 다운로드 URL은 명시적으로 신뢰하는 타사 Composer 저장소에서만 제공이 가능하기 때문에, 이 취약점이 Composer 사용자에게 직접적으로 미치는 영향은 제한됩니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/a-new-php-composer-bug-could-enable.html

https://blog.sonarsource.com/php-supply-chain-attack-on-composer

https://blog.packagist.com/composer-command-injection-vulnerability/

https://github.com/composer/composer/security/advisories/GHSA-h5h8-pc6h-jvvx

관련글 더보기

댓글 영역