널리 사용되는 오픈 소스 로드 밸런서 및 프록시 서버인 HAProxy에서 치명적인 보안 취약점이 공개되었습니다.
CVE-2021-40346으로 등록된 해당 취약점은 HTTP Request Smuggling 공격에 악용될 수 있는 정수 오버플로우 취약점입니다.
HTTP Request Smuggling은 웹사이트가 두 명 이상의 사용자로부터 수신한 HTTP 요청 시퀀스를 처리하는 방식을 변경하는 웹 애플리케이션 공격입니다.
HTTP 비동기화라고도 하는 이 기술은 이는 프론트엔드 서버(예: HAProxy)와 백엔드 서버 간의 HTTP 요청 처리를 방해하는 것을 기반으로 합니다. 공격자는 일반적으로 본문에 추가 요청이 포함된 특수하게 조작된 요청을 전송하여 이 기술을 악용합니다.
공격자는 프록시 서버가 인식하지 못하는 상태에서 백엔드 서버에 HTTP 요청을 밀수하여 민감한 데이터에 무단으로 액세스하고 임의 명령을 실행할 수 있습니다.
CVE-2021-40346은 CVSS 시스템에서 심각도 점수 8.6점을 받았으며 HAProxy 버전 2.0.25, 2.2.17, 2.3.14, 2.4.4에서 수정되었습니다.
HAProxy는 [content-length] 헤더가 하나 이상의 메시지에 존재하지 않는지 확인하는 것으로 완화 조치는 충분하다고 밝혔습니다.
최신 버전의 소프트웨어로 업그레이드할 수 없는 고객은 공격을 완화하기 위해 프록시 구성에 다음의 스니펫을 추가하는 것이 권장됩니다.
frontend myfrontend
http-request deny if { req.hdr_cnt(content-length) gt 1 }
http-response deny if { res.hdr_cnt(content-length) gt 1 }
취약점 번호
CVE-2021-40346
영향받는 버전
HAProxy 2.0, 2.2, 2.3, 2.4
HAProxy Enterprise 2.0r1, 2.1r1, 2.2r1, 2.3r1
HAProxy Kubernetes Ingress Controller 1.6
HAProxy Enterprise Kubernetes Ingress Controller 1.6
HAProxy ALOHA 11.5, 12.5, 13.0
패치 방법
최신 버전으로 업데이트
참고:
https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/
https://thehackernews.com/2021/09/haproxy-found-vulnerable-to-critical.html
새로운 안드로이드 뱅킹 트로이목마인 SOVA 발견 (0) | 2021.09.13 |
---|---|
러시아 랜섬웨어 그룹인 REvil(Sodinokibi), 2개월 만에 온라인 상태로 변경돼 (0) | 2021.09.10 |
새로운 Mēris 봇넷, 2,180만 RPS 공격으로 DDoS 기록 경신해 (0) | 2021.09.10 |
9월 8일, 생체정보 보호 가이드라인 개정안 공개 (0) | 2021.09.09 |
Groove 그룹, 해킹된 Fortinet 어플라이언스 크리덴셜 50만 건 유출해 (0) | 2021.09.09 |
댓글 영역