게임과 클라우드 서비스를 해킹 가능한 Squirrel Engine 취약점 발견

 

 

Squirrel Engine Bug Could Let Attackers Hack Games and Cloud Services

 

연구원들이 Squirrel 프로그래밍 언어의 Out-of-Bound 읽기 취약점을 발견해 공개했습니다. 이 취약점은 공격자가 샌드박스 제한을 벗어나 Squirrel VM 내에서 임의 코드를 실행해 공격자가 기본 시스템 전체에 접근할 수 있는 권한을 부여하는데 악용될 수 있습니다.

 

CVE-2021-41556으로 등록된 이 이슈는 악용될 경우 Squirrel Engine이라는 게임 라이브러리를 통해 신뢰할 수 없는 코드를 실행할 수 있으며, Squirrel의 안정적인 버전 3.x 및 2.x에 존재합니다. 이 취약점을 발견한 연구원은 2021년 8월 10일에 해당 취약점을 제보했습니다.

 

Squirrel은 오픈소스 객체지향 프로그래밍 언어로 비디오게임 스크립팅, IoT 기기 및 Enduro/X와 같은 분산 트랜잭션 처리 플랫폼에 사용됩니다.

 

이와 관련해 연구원인 Simon Scannell과 Niklas Breitfeld는 The Hacker News 측에 아래와 같이 밝혔습니다.

 

"실제 시나리오에서, 공격자는 악성 Squirrel 스크립트를 커뮤니티 맵에 삽입하고 신뢰할 수 있는 Steam Workshop을 통해 배포할 수 있습니다. 서버 소유자가 이 악성 맵을 다운로드해 자신의 서버에 설치할 경우 Squirrel 스크립트가 실행되고, 이는 VM을 탈출하여 서버 시스템을 제어할 수 있게 됩니다.”

 

이 보안 취약점은 “인덱스 혼동을 통한 out-of-bounds 접근”으로 Squirrel 클래스를 정의할 때 프로그램의 제어 흐름을 하이잭하고 Squirrel VM의 전체 제어 권한을 얻는데 악용될 수 있습니다.

 

해당 문제는 9월 16일 코드 커밋 푸시로 해결되었지만, 새로운 안정적인 릴리스 버전에는 변경 사항이 포함되지 않았습니다. 최신 공식 버전인 3.1은 2016년 3월 27일에 마지막으로 공개되었습니다.

 

프로젝트에 Squirrel을 사용하는 관리자는 모든 공격으로부터 시스템을 보호하기 위해 소스코드를 다시 빌드해 최신 수정 사항을 적용하는 것이 좋습니다.

 

 

 

  

출처:

https://thehackernews.com/2021/10/squirrel-engine-bug-could-let-attackers.html

https://blog.sonarsource.com/squirrel-vm-sandbox-escape

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41556