Wiz Research는 인기 있는 vibe 코딩 플랫폼인 Base44(최근 Wix에 인수됨)에서 심각한 취약성을 발견했습니다. 공격자는 공개적으로 사용 가능한 app_id만을 사용하여 인증을 우회하고 개인 애플리케이션과 민감한 데이터에 액세스할 수 있었습니다. 이 취약성은 매우 쉽게 악용될 수 있으며, 내부 챗봇 및 자동화 도구와 같은 엔터프라이즈 애플리케이션에 영향을 미쳤습니다. Wix는 24시간 이내에 취약성을 수정했으며 과거 악용의 증거가 없음을 확인했습니다. 이는 AI 기반 개발 플랫폼에서 강력한 보안 제어(인증 및 안전한 API 설계 등)의 필요성을 강조합니다.
더 보기
최근 공급망 공격과 tj-actions 손상을 포함한 GitHub Actions에 대한 공격은 심각한 보안 위험을 강조합니다. 이 가이드는 GitHub Actions 워크플로우를 안전하게 유지하기 위한 실용적인 조언을 제공합니다. 조직 수준 설정 및 리포지토리 수준 분기 보호, 시크릿 관리 및 안전한 워크플로 작성에 대한 모범 사례를 다룹니다. 포이즈닝 파이프라인 실행(PPE)과 같은 주요 취약성에 대해서도 설명하고, 타사 액션 사용 최소화, 권한 제어 및 정적 분석 및 정책 적용을 위한 도구 사용에 대한 권장 사항을 제시합니다.
더 보기
Wiz Research는 Ingress NGINX Controller for Kubernetes에서 인증되지 않은 원격 코드 실행 취약점( #IngressNightmare라고 명명됨) 시리즈를 발견했습니다. 이 취약점을 악용하면 모든 네임스페이스의 모든 시크릿에 대한 무단 액세스가 가능해지고 클러스터 장악으로 이어질 수 있습니다. 약 43%의 클라우드 환경이 취약하며, 포춘 500대 기업을 포함한 6,500개 이상의 클러스터가 취약한 구성 요소를 공개적으로 노출하고 있습니다. 즉시 패치를 적용하는 것이 중요합니다. 완화 조치로는 Ingress NGINX Controller의 최신 버전으로 업데이트하거나, 승인 컨트롤러 구성 요소를 비활성화하는 것이 있습니다.
더 보기
보안 연구 회사 Wiz Research는 중국 AI 스타트업 DeepSeek의 공개적으로 접근 가능한 ClickHouse 데이터베이스를 발견했습니다. 이 데이터베이스에는 민감한 정보가 포함된 백만 개 이상의 로그 항목이 포함되어 있으며, 인증 없이 완벽한 제어가 가능했습니다. 유출된 정보에는 채팅 기록, API 키, 백엔드 세부 정보 등이 포함되어 있었습니다. Wiz는 DeepSeek에 책임감 있게 이 취약점을 보고했고, DeepSeek은 신속하게 문제를 해결했습니다. 이 사건은 AI 기술의 급속한 확산과 관련된 심각한 보안 위험과 신생 기업이라도 강력한 보안 조치가 필요함을 강조합니다.
더 보기