이번 주에는 유니코드 취약점을 검토하여 코드를 악의적으로 인코딩하여 컴파일러와 사람의 눈과 다르게 표시되도록 합니다. 우리는 또한 컨테이너 보안및 우리가 주의를 필요로 생각하는 취약한 워드 프레스 플러그인에 대해 이야기 합니다.
트로이 소스(CVE-2021-42574)
두 케임브리지 대학 연구원에 의해 발표 된 최근 논문은 코드에서 유니코드 방향성 재정의 문자의 고유 한 사용은 악의적 인 행위자가 코드 베이스에 논리 변경을 도입 할 수 있도록하면서 인간의 독자가 안전하게 코드를 잘못 해석 할 수 있음을 보여줍니다. 연구원들은 GitHub 리포지토리를 만들어 이러한 캐릭터가 다양한 프로그래밍 언어로 어떻게 활용될 수 있는지 를 보여주었습니다.
#!/usr/bin/env python3
def sayHello():
print("Hello, World!")
def sayHello():
print("Goodbye, World!")
sayHello()
어떤 함수가 실행될지 알 수 있습니까? 컴파일러는 할 수 있습니다!
이 문제에는 여러 보안에 영향을 미칠 수 있습니다. 악성 코드는 공급망 공격에 대한 안전해 보이는 공용 리포지토리에 도입될 수 있습니다. 공개 포럼에서 복사된 코드에는 이러한 악의적인 논리 변경내용도 포함될 수 있습니다. 그것은 대부분의 컴파일러가 이러한 문제에 취약한 종이에 언급, 일부 지역 사회는 문제를 인정하더라도 (Rust와 GitHub참조), 그것은 대부분의 여전히 취약 한 것으로 알려져 있다.
컨테이너 보안 모범 사례
Docker에따르면 컨테이너는 코드와 모든 종속성을 패키지화하는 표준 소프트웨어 단위입니다. 응용 프로그램은 한 컴퓨팅 환경에서 다른 컴퓨팅 환경으로 빠르고 안정적으로 실행됩니다. 이렇게 하면 다른 호스트 운영 체제에서 변경하지 않고 응용 프로그램 이미지를 배포할 수 있습니다. 이러한 컨테이너 이미지는 기본 운영 체제에서 격리되지만 컨테이너 내부의 악용 가능한 취약점으로 인해 전체 클라우드 인프라가 손상될 수 있다고 sysdig의 포괄적인 컨테이너 보안 가이드는 설명합니다. 2020년 클라우드 네이티브 컴퓨팅 재단(CNCF) 조사에따르면 생산 컨테이너의 사용이 92%로 증가하여 이러한 인스턴스를 확보하는 것이 그 어느 때보다 중요해졌습니다.
우리는 안전한 Docker 이미지를 구축하기 위해 권장 도구와 절차를 사용하는 방법에 대한 자세한 내용은 우리 자신의 컨테이너 보안 가이드를 제공합니다. 컨테이너를 더 잘 보호하기 위해 다음 모범 사례를 따르는 것이 좋습니다.
- 컨테이너의 취약점 수를 줄이기 위해 이미지를 정기적으로 업데이트합니다.
- 이러한 목적을 위해 제작된 무료 및 오픈 소스 도구인 Trivy와같은 취약점 검색 도구를 사용하여 취약점을 자주 검사합니다.
- 컨테이너를 실행하기 위해 제한된 사용자를 만들고 가능한 한 루트 사용자로 컨테이너를 실행하지 않도록 합니다. 컨테이너를 사용할 때 권한 원칙을 가장 적게 행사하는 것이 중요합니다.
- 컨테이너에서 사용하는 CPU와 RAM을 제한합니다. 하드웨어 사용 제한은 공격자가 지정된 컨테이너에서 암호화 마이닝을 수행하는 능력을 크게 완화합니다. 또한 컨테이너에 할당된 불필요한 리소스의 양을 줄임으로써 성능 향상에 이점을 제공합니다.
마지막으로 이 주제에 대한 간략한 개요를 보려면 개방형 웹 응용 프로그램 보안 프로젝트(OWASP)에서 제공하는 Docker 보안 치트 시트를 확인할 수 있습니다.
옵틴 몬스터 워드 프레스 플러그인(CVE-2021-39341)
플러그인의 워드 프레스 페이지에따르면, OptinMonster는 사용자가 독자를위한 구독을 가능하게 팝업을 구축하는 데 도움이 플러그인입니다. 이 글을 쓰는 시점에서 100만 개 이상의 활성 설치가 가능합니다.
이 플러그인은 API 엔드포인트를 사용합니다. 워드펜스 문서에 따르면 이러한 엔드포인트의 대부분은 API 엔드포인트가 취약하여 인증되지 않은 공격자가 플러그인을 사용하여 민감한 정보를 내보내고 악성 JavaScript 코드를 워드프레스 사이트에 삽입할 수 있다고 합니다. 이 플러그인의 2.6.4 이전 버전은 이러한 공격에 노출되어 있으므로 이 플러그인을 최신 버전으로 업데이트할 것을 적극 권장합니다. 옵틴몬스터 팀에서 손상된 키를 재설정했습니다. API 키를 재설정했으며, 사용자는 플러그인을 계속 사용하려면 API 키를 다시 생성해야 할 수도 있습니다.
이러한 소화를 준비함으로써 독자와 유용한 정보를 공유하는 것을 목표로합니다. 새로운 것을 배운 경우 아래에 댓글을 남기고 보안에 대한 최신 뉴스를 계속 지켜보십시오.
내용