HAProxy, 치명적인 HTTP 요청 밀수 공격에 악용되는 취약점 수정돼

 

 

널리 사용되는 오픈 소스 로드 밸런서 및 프록시 서버인 HAProxy에서 치명적인 보안 취약점이 공개되었습니다.

CVE-2021-40346으로 등록된 해당 취약점은 HTTP Request Smuggling 공격에 악용될 수 있는 정수 오버플로우 취약점입니다. 

HTTP Request Smuggling은 웹사이트가 두 명 이상의 사용자로부터 수신한 HTTP 요청 시퀀스를 처리하는 방식을 변경하는 웹 애플리케이션 공격입니다.

HTTP 비동기화라고도 하는 이 기술은 이는 프론트엔드 서버(예: HAProxy)와 백엔드 서버 간의 HTTP 요청 처리를 방해하는 것을 기반으로 합니다. 공격자는 일반적으로 본문에 추가 요청이 포함된 특수하게 조작된 요청을 전송하여 이 기술을 악용합니다. 

공격자는 프록시 서버가 인식하지 못하는 상태에서 백엔드 서버에 HTTP 요청을 밀수하여 민감한 데이터에 무단으로 액세스하고 임의 명령을 실행할 수 있습니다. 

CVE-2021-40346은 CVSS 시스템에서 심각도 점수 8.6점을 받았으며 HAProxy 버전 2.0.25, 2.2.17, 2.3.14, 2.4.4에서 수정되었습니다. 

HAProxy는 [content-length] 헤더가 하나 이상의 메시지에 존재하지 않는지 확인하는 것으로 완화 조치는 충분하다고 밝혔습니다. 

최신 버전의 소프트웨어로 업그레이드할 수 없는 고객은 공격을 완화하기 위해 프록시 구성에 다음의 스니펫을 추가하는 것이 권장됩니다.

 

frontend myfrontend
http-request deny if { req.hdr_cnt(content-length) gt 1 }
http-response deny if { res.hdr_cnt(content-length) gt 1 }

취약점 번호

 

CVE-2021-40346

 

영향받는  버전

 

HAProxy 2.0, 2.2, 2.3, 2.4
HAProxy Enterprise 2.0r1, 2.1r1, 2.2r1, 2.3r1  
HAProxy Kubernetes Ingress Controller 1.6
HAProxy Enterprise Kubernetes Ingress Controller 1.6
HAProxy ALOHA 11.5, 12.5, 13.0

 

 

패치 방법 

최신 버전으로 업데이트

 

참고:
https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/
https://thehackernews.com/2021/09/haproxy-found-vulnerable-to-critical.html