메인 콘텐츠로 건너뛰기
블로그 보안 정보 Linode 시큐리티 다이제스트 10월 31일 - 2021년 11월 7일

Linode Security Digest – 2021년 10월 31일~11월 7일

리노드 시큐리티 다이제스트

이번 주에는 유니코드 취약점을 검토하여 코드를 악의적으로 인코딩하여 컴파일러와 사람의 눈과 다르게 표시되도록 합니다. 우리는 또한 컨테이너 보안및 우리가 주의를 필요로 생각하는 취약한 워드 프레스 플러그인에 대해 이야기 합니다.

트로이 소스(CVE-2021-42574)

두 케임브리지 대학 연구원에 의해 발표 된 최근 논문은 코드에서 유니코드 방향성 재정의 문자의 고유 한 사용은 악의적 인 행위자가 코드 베이스에 논리 변경을 도입 할 수 있도록하면서 인간의 독자가 안전하게 코드를 잘못 해석 할 수 있음을 보여줍니다. 연구원들은 GitHub 리포지토리를 만들어 이러한 캐릭터가 다양한 프로그래밍 언어로 어떻게 활용될 수 있는지 를 보여주었습니다.

#!/usr/bin/env python3

def sayHello():
    print("Hello, World!")

def sayHello():
    print("Goodbye, World!")

sayHello()

어떤 함수가 실행될지 알 수 있습니까? 컴파일러는 할 수 있습니다!

이 문제에는 여러 보안에 영향을 미칠 수 있습니다. 악성 코드는 공급망 공격에 대한 안전해 보이는 공용 리포지토리에 도입될 수 있습니다. 공개 포럼에서 복사된 코드에는 이러한 악의적인 논리 변경내용도 포함될 수 있습니다. 그것은 대부분의 컴파일러가 이러한 문제에 취약한 종이에 언급, 일부 지역 사회는 문제를 인정하더라도 (Rust와 GitHub참조), 그것은 대부분의 여전히 취약 한 것으로 알려져 있다.

컨테이너 보안 모범 사례

Docker에따르면 컨테이너는 코드와 모든 종속성을 패키지화하는 표준 소프트웨어 단위입니다. 응용 프로그램은 한 컴퓨팅 환경에서 다른 컴퓨팅 환경으로 빠르고 안정적으로 실행됩니다. 이렇게 하면 다른 호스트 운영 체제에서 변경하지 않고 응용 프로그램 이미지를 배포할 수 있습니다. 이러한 컨테이너 이미지는 기본 운영 체제에서 격리되지만 컨테이너 내부의 악용 가능한 취약점으로 인해 전체 클라우드 인프라가 손상될 수 있다고 sysdig의 포괄적인 컨테이너 보안 가이드는 설명합니다. 2020년 클라우드 네이티브 컴퓨팅 재단(CNCF) 조사에따르면 생산 컨테이너의 사용이 92%로 증가하여 이러한 인스턴스를 확보하는 것이 그 어느 때보다 중요해졌습니다.

우리는 안전한 Docker 이미지를 구축하기 위해 권장 도구와 절차를 사용하는 방법에 대한 자세한 내용은 우리 자신의 컨테이너 보안 가이드를 제공합니다. 컨테이너를 더 잘 보호하기 위해 다음 모범 사례를 따르는 것이 좋습니다.

  • 컨테이너의 취약점 수를 줄이기 위해 이미지를 정기적으로 업데이트합니다. 
  • 이러한 목적을 위해 제작된 무료 및 오픈 소스 도구인 Trivy와같은 취약점 검색 도구를 사용하여 취약점을 자주 검사합니다.
  • 컨테이너를 실행하기 위해 제한된 사용자를 만들고 가능한 한 루트 사용자로 컨테이너를 실행하지 않도록 합니다. 컨테이너를 사용할 때 권한 원칙을 가장 적게 행사하는 것이 중요합니다.
  • 컨테이너에서 사용하는 CPU와 RAM을 제한합니다. 하드웨어 사용 제한은 공격자가 지정된 컨테이너에서 암호화 마이닝을 수행하는 능력을 크게 완화합니다. 또한 컨테이너에 할당된 불필요한 리소스의 양을 줄임으로써 성능 향상에 이점을 제공합니다.

마지막으로 이 주제에 대한 간략한 개요를 보려면 개방형 웹 응용 프로그램 보안 프로젝트(OWASP)에서 제공하는 Docker 보안 치트 시트를 확인할 수 있습니다.

옵틴 몬스터 워드 프레스 플러그인(CVE-2021-39341)

플러그인의 워드 프레스 페이지에따르면, OptinMonster는 사용자가 독자를위한 구독을 가능하게 팝업을 구축하는 데 도움이 플러그인입니다. 이 글을 쓰는 시점에서 100만 개 이상의 활성 설치가 가능합니다.

이 플러그인은 사용 API 작동 할 끝점. 워드 펜스 기사에따르면, 이들 대부분은 API 엔드포인트는 취약한 상태였고, 인증되지 않은 공격자가 중요한 정보를 내보내고 플러그인을 사용하여 WordPress 사이트에 악의적인 자바스크립트 코드를 삽입할 수 있었습니다. 이 플러그인의 2.6.4 전에 버전은 이러한 공격에 열려, 그리고 그것은 매우 최신 버전에이 플러그인을 업데이트 하는 것이 좋습니다. 옵틴몬스터 팀이 손상된 것을 재설정했습니다. API 사용자가 키를 재생해야 할 수 있습니다. API 플러그인을 계속 사용하는 키.

이러한 소화를 준비함으로써 독자와 유용한 정보를 공유하는 것을 목표로합니다. 새로운 것을 배운 경우 아래에 댓글을 남기고 보안에 대한 최신 뉴스를 계속 지켜보십시오.


내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *