제이쿼리 플러그인의 3년 된 취약점, 결국 패치돼

원격 코드 실행 가능하게 해주는 치명적인 취약점
.htaccess 관련 설정 변경되면서 생긴 취약점...공략법 유튜브도 나와

[보안뉴스 문가용 기자] 보안 업체 아카마이 시큐리티(Akamai Security)의 전문가 래리 캐시돌라(Larry Cashdollar)가 최근 제이쿼리(jQuery) 플러그인에서 3년 동안 방치된 취약점을 찾아낸 바 있다. 이 취약점을 악용할 경우 원격 코드 실행이 가능하다고 한다.

[이미지 = iclickart]

이 오류는 PHP 서버를 업로드하기 위해 설계된 제이쿼리 플러그인이 파일 유형을 검사하거나 제외시키지 않기 때문에 만들어진 것이라고 캐시돌라는 10월 18일자 블로그를 통해 설명했다.

캐시돌라는 간단한 PHP 셸 파일을 사용해 웹 셸을 업로드하고 서버에서 명령을 실행시키려고 하다가 이 취약점을 발견했다고 한다.

이 취약점은 아파치 HTTPD(Apache HTTPD) 서버의 변경 사항 때문에 생겨났다. 변경 내용은 .htaccess 웹 서버 환경설정을 지원하지 않도록 한 것인데, 이는 보안 기능들이 오버라이드(무시)되는 것을 막기 위한 조치였다. 그러나 제이쿼리가 보안 장치들을 도입하기 위해서는 .htaccess가 반드시 필요했다. 즉 보안을 강화하기 위한 디폴트 변경 내용 때문에 플러그인의 보안 기본 사항이 침해된 것이다.

“인터넷은 수많은 데이터와 시스템, 네트워크 간 거래가 이뤄지는 곳이고, 이런 요소들을 보호하려고 하루에도 수많은 보안 장치들이 작동을 하는 공간입니다. 그런데 이 수많은 장치들 중 하나가 갑자기 사라지면, 그것에 안전을 의존했던 많은 조직이나 사람, 소프트웨어들이 갑자기 취약해질 수밖에 없습니다. 보안 장치 하나를 비활성화하려면 그것에 얽힌 것들이 무엇이 있나 꼼꼼하게 파악해야 합니다.” 캐시돌라의 설명이다.

물론 아파치 측이 .htaccess 웹 서버 옵션을 비활성화 시킨 것은 나쁜 의도에서 비롯된 것이 아니었다. “하지만 이로 인해 일부 개발자들과 소프트웨어 프로젝트들이 뜻하지 않게 위험에 처한 것도 사실입니다.”

이 취약점에 영향 혹은 피해를 받은 기업이나 소프트웨어가 얼마나 있는지 정확히 파악한다는 건 불가능하다. 그러나 꽤나 많은 프로젝트들이 이 기능에 기대고 있었고, 심지어 이 취약점을 익스플로잇 하는 방법을 설명한 유튜브 영상들도 올라와 있는 상태다. 그러므로 사소한 해프닝으로 넘기기는 힘든 취약점이라고 할 수 있다.

다행히도 이 문제는 9.22.1 버전 발표와 함께 해결됐다. 하지만 캐시돌라는 “제이쿼리 플러그인이 적용되는 사례가 워낙 많고, 포크도 다양하게 존재하기 때문에 취약점이 완전히 해결됐다고 보기 힘들다”고 설명했다. “개발자 전원이 제이쿼리 요소를 끝까지 추적해서 하나하나 패치하지 않는 이상 상당히 많은 프로그램들이 여전히 취약한 채 사용될 것으로 보입니다.”

3줄 요약
1. 아카마이의 보안 전문가가 제이쿼리라는 플러그인에서 취약점 찾아냄.
2. 이 취약점은 아파치 측에서 일부 기능 비활성화 시킴에 따라 뜻하지 않게 생성된 것.
3. 3년 넘은 취약점, 패치가 발표됐으나 그 동안 워낙 많이 퍼진 상태라 패치 적용 다 되지 않을 것.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)