개발자 포털 만드는 데 활용되는 오픈소스인 백스테이지…공격자의 코드 실행 가능하게 해

요약 : 보안 블로그 시큐리티어페어즈는 보안 업체 옥스아이(Oxeye)의 말을 인용해 스포티파이(Spotify)의 백스테이지(Backstage)에서 9.8점짜리 초고위험도 취약점이 발견됐음을 알렸다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 원격에서 임의의 코드를 실행할 수 있게 된다. 현재 백스테이지 개발팀은 이 문제를 제보받고 1.5.1 버전을 발표해 픽스한 상태다. 현재 500개 이상의 취약한 백스테이지가 인터넷을 통해 노출되어 있는 상황이라고 한다.

[보안뉴스 / 11.16.] 스포티파이의 백스테이지에서 초고위험도 원격 코드 실행 취약점 발견돼

[이미지 = utoimage]

배경 : 백스테이지는 스포티파이의 오픈소스 플랫폼으로, 수많은 기업들이 이를 이용해 개발자 포털을 구축한다. 아메리칸항공, 넷플릭스, 스플렁크, 피델리티, 에픽게임즈 등이 주요 사용자 기업인 것으로 알려져 있다. 이번에 발견된 취약점은 CVE-2022-36067이라는 샌드박스 탈출 취약점을 발동시킴으로써 익스플로잇이 가능하다고 한다.

말말말 : “CVE-2022-36067을 익스플로잇 하는 데 성공한 공격자라면 백스테이지 애플리케이션에서 임의의 시스템 명령을 실행할 수도 있습니다.” -옥스아이-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>