Yamale 파이썬 패키지에 영향을 미치는 코드 실행 취약점 발견

 

 

Code Execution Bug Affects Yamale Python Package — Used by Over 200 Projects

 

23andMe의 YAML의 스키마 및 유효성 검사기인 Yamale에서 심각도 높은 코드 주입 취약점이 발견되었습니다. 공격자는 임의 파이썬 코드를 실행하는데 이 취약점을 쉽게 악용할 수 있습니다.

 

CVE-2021-38305(CVSS 점수: 7.8)로 등록된 이 취약점은 보호를 우회하여 코드를 실행하기 위해 툴에 입력으로 제공된 스키마 파일을 조작하는 작업을 포함합니다.

 

특히, 이 이슈는 전달된 모든 입력을 평가 및 실행할 수 있는 스키마 구문 분석 기능에 존재하여 결과적으로 스키마 내에서 특수 제작된 문자열이 시스템 명령어 주입에 악용되는 결과를 낳을 수 있습니다.

 

Yamale은 개발자가 명령줄에서 구성 파일 작성에 자주 사용되는 데이터 직렬화 언어인 YAML의 유효성을 검사할 수 있도록 하는 Python 패키지입니다.

 

이 패키지는 GitHub의 저장소 최소 224곳에서 사용되고 있습니다.

 

JFrog Security CTO Asaf Karas는 이에 대해 아래와 같이 밝혔습니다.

 

"이러한 취약점으로 인해 입력 스키마 파일을 제공할 수 있는 공격자가 파이썬 코드를 주입해 Yamale 프로세스의 권한으로 코드를 실행할 수 있게 됩니다.”

 

"eval()로 전달되는 모든 입력을 광범위하게 제거하고, eval() 호출을 작업에 필요한 보다 구체적인 API로 대체하는 것이 좋습니다."

 

연구원의 취약점 제보 이후, 해당 이슈는 Yamale 버전 3.0.8에서 수정되었습니다.

 

Yamale 관리자는 지난 8월 4일 릴리스 노트를 발표해 "이 릴리스는 스키마 파일이 Yamale를 실행하는 시스템에서 임의 코드를 실행할 수 있는 취약점을 수정한다”고 밝혔습니다.

 

이 취약점은 JFrog가 파이썬 패키지에서 발견된 일련의 보안 이슈 중 가장 최신 이슈입니다.

 

2021년 6월 Vdoo는 PyPi 리포지토리 내 오타가 포함된 패키지를 공개했습니다. 이는 해킹된 시스템에서 Ethereum 및 Ubiq를 채굴하기 위해 T-Rex, ubqminer, PhoenixMiner와 같은 써드파티 크립토마이너를 다운로드하고 실행하는 것으로 밝혀졌습니다.

 

이후 JFrog의 보안 팀은 30,000번 이상 다운로드된 8개의 악성 파이썬 라이브러리를 추가로 발견했습니다. 이 라이브러리는 타깃 컴퓨터에서 원격 코드를 실행하고, 시스템 정보를 수집하고, 크롬과 엣지 브라우저, 디스코드의 인증 토큰을 훔칩니다.

 

연구원들은 이와 관련하여 아래와 같이 밝혔습니다.

 

"소프트웨어 패키지 저장소가 공급망 공격의 인기 있는 타깃이 되고 있으며 npm, PyPI, RubyGems와 같은 인기 있는 저장소에 대한 악성코드 공격이 있었습니다."

 

"악성코드 패키지가 패키지 저장소에 업로드될 수 있기 때문에, 공격자는 저장소를 사용하여 악성코드를 배포하고 파이프라인의 개발자 및 CI/CD 시스템 모두에 성공적인 공격을 실행할 수 있습니다."

 

 

 

  

출처:

https://thehackernews.com/2021/10/code-execution-bug-affects-yamale.html

https://jfrog.com/blog/23andmes-yamale-python-code-injection-and-properly-sanitizing-eval/

https://nvd.nist.gov/vuln/detail/CVE-2021-38305