HiddenLayer의 보안 연구원들은 신뢰할 수 없는 데이터를 역직렬화하여 임의 코드 실행을 허용하는 R 프로그래밍 언어의 취약점을 발견했습니다.
이 취약점은 의료, 금융, 정부 산업의 주요 조직에 심각한 영향을 미칠 수 있습니다.
잘 모르는 분들을 위해 말씀드리자면, R은 통계 컴퓨팅, 데이터 시각화 및 기계 학습을 위한 오픈 소스 프로그래밍 언어이자 소프트웨어 환경입니다.
CVE 식별자 CVE-2024-27322로 지정된 이 취약점은 "R의 프라미스 개체 및 지연 평가 사용과 관련이 있습니다"라고 인공 지능(AI) 모델 및 자산의 선도적인 보안 제공업체인 HiddenLayer가 The The 와 공유 한 보고서 에서 밝혔습니다. 해커 뉴스.
또한 개발자와 데이터 과학자 간에 공유되는 경우가 많은 RDS(R Data Serialization) 파일이나 R 패키지 로딩을 통해 취약점을 악용할 수 있습니다.
연구원에 따르면 공격자는 상호 작용 시 피해자의 대상 장치에서 실행되는 임의의 R 코드가 포함된 악성 RDS 파일이나 R 패키지를 생성할 수 있습니다. 즉, 이 취약점을 통해 공격자는 로드 및 참조 시 임의 코드를 실행하는 악성 RDS(R 데이터 직렬화) 파일을 제작할 수 있습니다.
R 내의 여러 함수를 사용하여 데이터를 직렬화 및 역직렬화할 수 있습니다. 이는 어느 정도 서로 다르지만 궁극적으로는 동일한 내부 코드를 활용합니다.
예를 들어 직렬화 프로세스(serialize() 또는 saveRDS())와 역직렬화(unserialize() 및 readRDS()) 프로세스도 R 패키지를 저장하고 로드할 때 활용되므로 사용자가 공급망 공격에 노출됩니다.
“R 패키지는 이 악용에 취약하므로 패키지 저장소를 통한 공급망 공격의 일부로 사용될 수 있습니다. 공격자가 R 패키지를 탈취하려면 rdx 파일을 악의적으로 제작된 파일로 덮어쓰기만 하면 되며 , 패키지가 로드되면 자동으로 코드가 실행됩니다.”라고 회사측은 말했습니다.
R의 광범위한 사용을 고려하여 HiddenLayer는 R 팀에 보안 취약점을 공개했으며 이후 이 문제는 2024년 4월 24일에 출시된 버전 4.4.0 에서 해결되었습니다.
“공격자는 값을 unbound_value로 설정하는 약속 명령과 임의의 코드를 포함하는 표현식이 포함된 RDS 형식의 파일을 제작하여 이 [결함]을 악용할 수 있습니다. 지연 평가로 인해 RDS 파일과 연결된 기호에 액세스할 때만 표현식이 평가되고 실행됩니다.”라고 HiddenLayer는 덧붙였습니다.
“따라서 이것이 단순한 RDS 파일인 경우 사용자가 작업을 위해 기호(변수)를 할당하면 사용자가 해당 기호를 참조할 때 임의의 코드가 실행됩니다. 객체가 R 패키지 내에서 컴파일되면 패키지는 CRAN과 같은 R 저장소에 추가될 수 있으며 사용자가 해당 패키지를 로드할 때 표현식이 평가되고 임의 코드가 실행됩니다."
*참조한 원본 글: https://www.techworm.net/2024/04/vulnerability-r-programming-supply-chain-attacks.html
컴퓨터 바이러스 이야기 – 재미있는 바이러스 관련 10가지 팩트!
재미있는 바이러스 컴퓨터 정보를 찾고 있다면 제대로 찾아오신 것입니다. 불과 수십 년 전만 해도 컴퓨터 바이러스의 개념은 단순한 것으로 간주되었으며 실제 위협이라기보다는 신화적인 생
icandothat.tistory.com
'알면 써먹기 좋은 지식' 카테고리의 다른 글
| 악성코드는 웹 요청에서 비밀번호를 훔치기 위해 라우터를 표적으로 삼습니다. (0) | 2024.05.04 |
|---|---|
| Microsoft의 KB5036893/KB5036892 업데이트로 인해 Windows 11 및 10에서 VPN이 중단되었습니다. (0) | 2024.05.04 |
| "Apple 사용자가 예기치 않게 Apple ID에서 로그아웃되었습니다." 해결 방법 (0) | 2024.05.04 |
| 머드 색상의 숨겨진 의미 (0) | 2024.05.04 |
| 그라파이트 색상의 뜻과 의미: 빛과 그림자의 조화로운 혼합 (0) | 2024.05.04 |
댓글