해외 뉴스 웹사이드 데일리 스위그에 따르면, 오픈소스 보안 페이스트빈(Pastebin)인 프라이빗빈(PrivateBin)의 크로스 사이트 스크립팅(XSS) 취약점이 패치됐다.
제로빈(ZeroBin)의 인기 포크인 프라이빗빈은 정보 저장 시 사용하는 온라인 툴로 AES 256비트를 사용하여 브라우저에서 암호화/복호화된다. 서버가 '붙여넣은 데이터에 대한 지식이 전혀 없다'는 의미이다.
보안 기업 네트헴바(Nethemba) 관계자 이안 버드(Ian Budd)가 발견한 XSS 결함은 악성 자바스크립트 코드를 SVG 이미지 파일에 삽입하여 붙여넣은 내용에 첨부하도록 한다. XSS 취약점은 2월 22일 자로 처음 보고돼, 4월에 자세한 사항이 발표되었다.
인스턴스가 적절한 콘텐츠 보안 정책으로 보호되지 않을 때, 사용자가 특수 조작된 SVG 첨부 파일이 있는 붙여넣기 내용을 열어 미리 보기 이미지를 사용할 경우 공격자가 코드를 실행할 수도 있다.
버드는 “페이로드를 만들어 다른 사용자에게 보내는 것은 쉬운 일이다. 사용자가 이미지 미리 보기를 새 탭에서 열어야 하기 때문이다. 성공적으로 실행된 후에는 피해자의 브라우저에 있는 쿠키와 동일한 도메인에서 실행되는 다른 애플리케이션의 보호되지 않은 쿠키, 로컬 스토리지 데이터, 세션 스토리지 데이터 등에 접근할 수 있다. 여기에는 인증 토큰이 포함될 수도 있다"라고 설명했다.
그러나 버드는 반드시 사용자 인터랙션이 필요하다는 점, 그리고 잠재적 익스플로잇 코드가 새 탭에서만 실행될 수 있다는 점 때문에 공격이 성공할 가능성은 상대적으로 낮다고 말했다.
그는 “프라이빗빈은 이미 이 문제를 완화할 수 있는 콘텐츠 보안 정책(CSP)을 마련했다. XSS 취약점은 CSP를 준수하지 않는 브라우저를 사용하거나 기본 CSP가 수정되어 효율성이 떨어진 사이트를 사용할 때 발견되었다"라고 언급했다.
그러나 네트헴바는 인스턴스 목록 중 CSP를 제거하거나 안전하지 않은 설정으로 변경한 인스턴스를 여럿 발견했으며, 이 중 두 인스턴스는 첨부파일 사용이 가능해 공격에 취약한 것으로 확인됐다. 그러나 지금까지 네트헴바 측이 발견한 취약점이 널리 악용된 사례는 보고되지 않았다.
한편, 프라이빗빈은 미리 보기의 취약점을 보완했으며, 서버 관리자에게 수정 사항이 포함된 버전으로 업그레이드하거나 인스턴스의 CSP가 올바르게 설정되도록 할 것을 권장한다. 또한, 디렉토리 리스팅 툴을 확장하여 검사 메커니즘을 포함하도록 수정했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
