Google OAuth client library flaw allowed to deploy of malicious payloads
구글은 CVE-2021-22573(CVS 점수 8.7)으로 등록된 Java용 구글 OAuth 클라이언트 라이브러리의 심각도 높은 인증 우회 취약점을 해결했습니다. 이 취약점은 해킹된 토큰을 통해 공격자가 악의적인 페이로드를 배포하도록 허용합니다.
Java용 구글 OAuth 클라이언트 라이브러리는 구글 API뿐 아니라 웹의 모든 OAuth 서비스와 작동하도록 설계되었습니다.
라이브러리는 Java용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며, Java 7(및 이상) 표준(SE) 및 엔터프라이즈(EE), Android 4.0(및 이상), Google App Engine을 지원합니다.
해당 문제의 근본적인 원인은 IDToken 검증자가 토큰이 올바르게 서명되었는지 확인하지 않기 때문입니다.
이는 공격자가 신뢰할 수 있는 공급자가 제공하지 않은 악성 페이로드를 제공할 수 있음을 의미합니다.
NIST는 보고서를 통해 아래와 같이 밝혔습니다.
“해당 취약점은 IDToken 검증자가 토큰이 제대로 서명되었는지 확인하지 않기 때문에 발생합니다. 서명 확인 과정에서는 토큰의 페이로드가 유효한 공급자가 보낸 것인지 확인합니다. 공격자는 커스텀 페이로드와 함께 해킹된 토큰을 제공할 수 있습니다."
"토큰은 클라이언트 측 유효성 검사를 통과합니다. 버전 1.33.3 이상으로 업그레이드할 것을 권장합니다.”
이 취약점은 3월 12일 보안 연구원 Tamjid Al Rahat이 제보했으며, 제보자는 버그 포상금 프로그램을 통해 5,000달러를 받았습니다. 구글은 4월에 버전 1.33.3을 출시해 이 취약점을 해결했습니다.
Java용 Google OAuth 클라이언트 라이브러리 사용자는 버전 1.33.3 이상으로 업그레이드할 것을 권장합니다.
출처:
https://securityaffairs.co/wordpress/131459/security/google-oauth-client-library-flaw.html
Cisco, 실제 공격에서 악용되는 새로운 IOS XR 제로데이 취약점 패치해 (0) | 2022.05.23 |
---|---|
Snake Keylogger 악성코드를 드롭하는 Word 파일, PDF에 숨겨져 배포돼 (0) | 2022.05.23 |
Microsoft, AD 인증 문제를 해결하기 위해 긴급 업데이트 진행 (0) | 2022.05.20 |
마이크로소프트, 리눅스 XorDDoS 악성코드 활동이 급증했다고 밝혀 (0) | 2022.05.20 |
마이크로소프트, sqlps 툴을 사용해 MSSQL 서버를 노리는 공격 경고해 (0) | 2022.05.19 |
댓글 영역