구글의 OAuth 클라이언트 라이브러리 취약점, 악성 페이로드 배포에 악용돼

Google OAuth client library flaw allowed to deploy of malicious payloads

 

구글은 CVE-2021-22573(CVS 점수 8.7)으로 등록된 Java용 구글 OAuth 클라이언트 라이브러리의 심각도 높은 인증 우회 취약점을 해결했습니다. 이 취약점은 해킹된 토큰을 통해 공격자가 악의적인 페이로드를 배포하도록 허용합니다.

 

Java용 구글 OAuth 클라이언트 라이브러리는 구글 API뿐 아니라 웹의 모든 OAuth 서비스와 작동하도록 설계되었습니다.

 

라이브러리는 Java용 구글 HTTP 클라이언트 라이브러리를 기반으로 하며, Java 7(및 이상) 표준(SE) 및 엔터프라이즈(EE), Android 4.0(및 이상), Google App Engine을 지원합니다.

 

해당 문제의 근본적인 원인은 IDToken 검증자가 토큰이 올바르게 서명되었는지 확인하지 않기 때문입니다.

 

이는 공격자가 신뢰할 수 있는 공급자가 제공하지 않은 악성 페이로드를 제공할 수 있음을 의미합니다.

 

NIST는 보고서를 통해 아래와 같이 밝혔습니다.

 

“해당 취약점은 IDToken 검증자가 토큰이 제대로 서명되었는지 확인하지 않기 때문에 발생합니다. 서명 확인 과정에서는 토큰의 페이로드가 유효한 공급자가 보낸 것인지 확인합니다. 공격자는 커스텀 페이로드와 함께 해킹된 토큰을 제공할 수 있습니다."

 

"토큰은 클라이언트 측 유효성 검사를 통과합니다. 버전 1.33.3 이상으로 업그레이드할 것을 권장합니다.”

 

이 취약점은 3월 12일 보안 연구원 Tamjid Al Rahat이 제보했으며, 제보자는 버그 포상금 프로그램을 통해 5,000달러를 받았습니다. 구글은 4월에 버전 1.33.3을 출시해 이 취약점을 해결했습니다.

 

Java용 Google OAuth 클라이언트 라이브러리 사용자는 버전 1.33.3 이상으로 업그레이드할 것을 권장합니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/131459/security/google-oauth-client-library-flaw.html

https://nvd.nist.gov/vuln/detail/CVE-2021-22573