NPM 패키지에서 심각한 원격 코드 실행 취약점 보고돼

 

 

JavaScript 프로그래밍 언어용으로 널리 사용되는 NPM 패키지 'Pac-Resolver'가 HTTP 요청이 전송될 때마다 Node.js 애플리케이션 내부에서 악성코드를 실행하는 데 악용될 수 있는 심각도가 높은 원격 코드 실행 취약점을 수정했습니다.

CVE-2021-23406으로 추적되는 이 취약점은 CVSS 취약점 점수 시스템에서 심각도 등급이 8.1이며 Pac-Resolver 5.0.0 이전 버전에 영향을 미칩니다.

프록시 자동 구성(PAC) 파일은 웹 브라우저 요청을 대상으로 직접 라우팅해야 하는지 아니면 지정된 호스트 이름에 대해 웹 프록시 서버로 전달해야 하는지를 결정하는 JavaScript 기능입니다. PAC 파일은 프록시 규칙이 엔터프라이즈 환경에서 배포되는 방식입니다.

NPM 패키지는 Proxy-Agent에서 차례로 사용되는 Pac-Proxy-Agent에서 PAC 파일 지원에 사용되며 Node.js에서 HTTP 프록시 자동 감지 및 구성을 위한 표준 이동 패키지로 모든 곳에서 사용됩니다. Proxy-Agent는 AWS의 CDK 툴킷부터 Mailgun SDK, Firebase CLI까지 모든 곳에서 사용됩니다.

CVE-2021-23406은 Pac-Proxy-Agent가 PAC 파일을 올바르지 않은 방식으로 샌드박스를 처리하는 것과 관련이 있으며, 그 결과 신뢰할 수 없는 PAC 파일이 남용되어 샌드박스에서 완전히 벗어나 기본 운영 체제에서 임의의 코드를 실행할 수 있는 시나리오가 발생합니다. 

그러나 이를 위해서는 공격자가 로컬 네트워크에 상주하거나, PAC 파일의 내용을 조작할 수 있는 능력이 있거나, 프록시 구성을 변경하기 위해 두 번째 취약점과 연결해야 합니다.

 

취약점 번호

CVE-2021-23406

 

영향받는 버전

Pac-Resolver 5.0.0 이전 버전

 

조치 방법

사용자는 VM 내장 모듈 대신 실제 샌드박스를 사용하여 해당 취약점을 수정할 수 있습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html