본 글은 Ruby Marshal 모듈의 역직렬화 취약점에 대한 10년간의 역사를 심층적으로 다룹니다. 2013년 초기 버그 보고서부터 2024년 최신 공격 기법까지, 보안 연구자와 공격자 간의 지속적인 숨바꼭질을 보여줍니다. 단순한 패치로는 문제를 해결할 수 없다는 점을 강조하며, 더 안전한 대안을 사용하여 Marshal 모듈을 단계적으로 폐기할 것을 제안합니다.
더 보기
연구원들은 AI 시스템의 새로운 보안 취약성을 발견했습니다. 무해해 보이는 이미지를 대규모 언어 모델(LLM)에 전송하여 데이터 유출을 유발할 수 있습니다. 공격자는 AI 시스템이 처리 전에 이미지 크기를 축소하는 점을 악용하여 축소된 이미지에 전체 해상도에서는 보이지 않는 악의적인 프롬프트 주입을 삽입합니다. 이를 통해 사용자 인식을 우회하고 사용자 데이터에 액세스할 수 있습니다. 이 취약성은 Google Gemini CLI를 포함한 여러 AI 시스템에서 입증되었습니다. 연구원들은 이러한 유형의 공격 이미지를 생성 및 분석하기 위한 오픈소스 도구 Anamorpher를 개발했으며, AI 시스템에서 이미지 크기 조정을 피하거나 모델이 실제로 처리하는 이미지의 미리 보기를 사용자에게 제공할 것을 권장합니다.
더 보기
연구원들은 DistrictCon의 Junkyard 경진대회에서 더 이상 지원되지 않는 두 개의 네트워크 장치(Netgear WGR614v9 라우터와 BitDefender Box V1)를 성공적으로 악용하여 2위를 차지했습니다. 그들의 악용 체인은 제조업체 지원이 중단된 후에도 패치되지 않은 취약점이 여전히 악용될 수 있음을 보여주며, 제품 수명 종료(EOL) 하드웨어의 지속적인 보안 위험을 강조합니다. 연구원들은 인증 우회, 버퍼 오버플로우, 명령어 삽입 등 여러 취약점을 자세히 설명했으며, 두 장치 모두에 대한 원격 루트 액세스를 달성했습니다. 이 연구는 장치를 선택할 때 제조업체의 지원 수명 주기와 커뮤니티 펌웨어 옵션을 고려하는 것이 중요함을 강조하며, EOL IoT 장치로 인해 발생하는 지속적인 보안 과제를 부각합니다.
더 보기
Go의 JSON, XML, YAML 파서에는 보안 위험이 있으며, 공격자는 예상치 못한 동작을 악용하여 인증을 우회하고, 권한 제어를 무시하고, 중요한 데이터를 유출할 수 있습니다. 이 글에서는 세 가지 공격 시나리오를 자세히 설명합니다. (1) 예상치 못한 데이터의 (언)마샬링: 개발자가 비공개로 유지하려던 데이터를 공개하는 방법, (2) 파서 차이: 여러 서비스가 동일한 입력을 구문 분석할 때 파서 간의 불일치로 인해 공격자가 보안 제어를 우회할 수 있는 방법, (3) 데이터 형식 혼동: 파서가 크로스 포맷 페이로드를 놀랍고 악용 가능한 결과로 처리하는 방법. 완화 방안으로는 `DisallowUnknownFields` 사용, Go 표준 라이브러리의 취약성을 보완하는 사용자 정의 함수 생성 등이 있습니다.
더 보기
본 기사는 패스키의 기반이 되는 암호화에 대해 심층적으로 다룹니다. 패스키는 키 쌍을 사용하여 디지털 서명을 생성하며, 서버에 민감한 정보를 전송하지 않고도 피싱 공격과 비밀번호 재사용을 방지합니다. WebAuthn 사양은 출처 바인딩을 통해 보안을 강화하여 패스키가 올바른 웹사이트에서만 사용되도록 합니다. 다양한 인증자 유형과 WebAuthn 확장 기능을 사용하여 암호 키를 생성하고 저장하는 방법도 설명합니다. 브라우저 공격 및 인증자 손상과 같은 잠재적인 위협과 완화 전략에 대해서도 논의합니다. 완벽한 솔루션은 아니지만, 패스키는 보안을 크게 향상시키며 인증의 미래에 매력적인 선택입니다.
더 보기
Trail of Bits는 PyPI의 Warehouse 테스트 스위트 성능을 획기적으로 개선하여 실행 시간을 163초에서 30초로 단축했습니다. 테스트 수는 3,900개에서 4,700개 이상으로 증가했습니다. 이 81%의 성능 향상은 다음과 같은 몇 가지 주요 최적화를 통해 달성되었습니다. pytest-xdist를 사용한 테스트 실행 병렬화, 효율적인 적용 범위 측정을 위한 Python 3.12의 sys.monitoring 활용, 테스트 검색 최적화, 불필요한 import 제거입니다. 이러한 기법은 느린 테스트 스위트로 어려움을 겪는 많은 Python 프로젝트에 쉽게 적용할 수 있으며, 최소한의 비용으로 성능을 크게 향상시킬 수 있습니다.
더 보기
PyCA Cryptography팀은 순수 Rust 파서를 사용하는 새로운 ASN.1 API를 개발하고 있습니다. 이를 통해 성능이 크게 향상되고 다른 ASN.1 파서와의 차이로 인한 보안 위험이 줄어듭니다. 새로운 API는 가독성과 유지 관리성을 향상시키는 선언적 dataclass 스타일 인터페이스도 갖추고 있습니다. 이는 성능과 보안 측면에서 기존 Python ASN.1 라이브러리의 단점을 해결하고 Sigstore와 같은 새로운 에코시스템을 더 잘 지원하기 위한 것입니다.
더 보기
2025년 2월 21일, Bybit 거래소는 역사상 최대 규모의 암호화폐 절도 사건으로 인해 약 15억 달러의 손실을 입었습니다. 공격자는 스마트 계약의 취약점을 악용하는 대신, 정교한 악성 코드를 사용하여 여러 서명자의 기기를 해킹하고, 지갑 인터페이스를 조작하여 그들의 몰래 서명을 획득했습니다. 조사 결과, 북한의 국가 지원 해커 그룹(TraderTraitor, Jade Sleet 등)이 연루되어 있으며, 고도의 사회 공학 기법을 사용하여 주요 인력을 표적으로 삼고, 크로스 플랫폼 툴킷을 사용했던 것으로 나타났습니다. 이는 운영 보안을 소홀히 하는 심각한 위험을 보여주며, 물리적으로 격리된 서명 시스템, 다중 요소 인증, 정기적인 보안 교육의 중요성을 강조합니다. 암호화폐 기업들이 운영 보안 조치를 크게 개선하지 않는 한, 유사한 공격은 계속될 것입니다.
더 보기