CloudFlare CDNJS Bug Could Have Led to Widespread Supply-Chain Attacks
https://thehackernews.com/2021/07/cloudflare-cdnjs-bug-could-have-led-to.html
CloudFlare CDNJS Bug Could Have Led to Widespread Supply-Chain Attacks
A critical RCE vulnerability in CloudFlare CDNJS infrastructure may have facilitated widespread supply-chain attacks.
thehackernews.com
0
CloudFlare CDNJS Bug Could Have Led to Widespread Supply-Chain Attacks
클라우드플레어의 CDNJS 버그는 광범위한 공급망 공격을 초래 할 수 있다.
CDNJS
클라우드플레어에서 지원하는 무료 오픈 소스 소프트웨어
CDN
서버와 사용자 사이의 물리적 거리를 줄여 웹 페이지 콘텐츠 로드 지연을 최소화 하는 분산된 서버로 이루어진 플랫폼
could have led to
초래할 수 있다
widespread
광범위한, 널리 퍼진
1
Web infrastructure and website security company Cloudflare last month fixed a critical vulnerability in its CDNJS library that's used by 12.7% of all websites on the internet.
웹 인프라와 웹 보안 기업인 클라우드플레어는 지난달 인터넷 모든 웹 사이트의 12.7%가 사용하는 CDNJS 라이브러리에서 발생한 치명적인 취약점을 고쳤다.
infrastructure
인프라
vulnerability
취약점
2
CDNJS is a free and open-source content delivery network (CDN) that serves about 4,041 JavaScript and CSS libraries, making it the second most popular CDN for JavaScript after Google Hosted Libraries.
CDNJS는 4041개의 자바스크립트 및 CSS 라이브러리들을 제공하는 무료 오픈 소스로, GHL 다음 2번째로 가장 많이 사용하는 자바스크립트용 CDN이다.
3
The weakness concerned an issue in the CDNJS library update server that could potentially allow an attacker to execute arbitrary commands, leading to a complete compromise.
이 취약점은 공격자가 임의적으로 명령을 실행해 완전히 손상시키도록 (잠재적으로) 허용하는 CDNJS 라이브러리 업데이트 서버 문제와 관련있다.
concern
영향을 미치다, 관련되다, 관한 것이다
compromise
타협, 손상, 위태롭게 하다
4
The vulnerability was discovered and reported by security researcher RyotaK on April 6, 2021. There is no evidence of in-the-wild attacks abusing this flaw.
이 취약점은 보안 분선가 RyotaK에 의해 4월 6일 발견되고 기록되었다. 이 결함을 악용한 wild attacks 공격의 증거는 없다.(아직 없다는 뜻인가? 발견못했다는 뜻인가?)
evidence
증거
in-the-wild attack
테스트 시스템과 달리 컴퓨터 간에 확산되는 위협
abusing
남용, 오용
flaw
결함
5
Specifically, the vulnerability works by publishing packages to Cloudflare's CDNJS using GitHub and npm, using it to trigger a path traversal vulnerability, and ultimately trick the server into executing arbitrary code, thus achieving remote code execution.
특히 이 취약점은 깃허브와 npm을 사용하여 클라우드플레어의 CDNJS 패키지를 게시하고, 이것을 사용해 경로 탐색 취약점을 계기로 궁극적으로 서버가 임의코드를 실행하도록 속여 이에따라 원격 코드를 실행하도록 작동한다.
ultimately
궁극적으로
thus
이렇게 하여, 이와 같이, 따라서, 그러므로
6
It's worth noting that the CDNJS infrastructure includes features to automate library updates by periodically running scripts on the server to download relevant files from the respective user-managed Git repository or npm package registry.
(worth noting?) CDNJS 인프라는 주기적으로 스크립트를 실행하여 깃 레포지토리와 NPM 레지스트리에 각각의 사용자 관리와 관련된 다운로드 파일 라이브러리를 자동으로 업데이트 하는 기능이 포함되어있다.
relevant
관련있는, 적절한
respective
각각의
npm
Nodejs 패키지 관리자
7
By uncovering an issue with how the mechanism sanitizes package paths, RyotaK found that "arbitrary code can be executed after performing path traversal from the .tgz file published to npm and overwriting the script that is executed regularly on the server."
이 방법이 패키지 경로를 어떻게 정상적으로 보이도록 하는지 알아내는 것을 통해 RyotaK은 "제멋대로인 코드는 npm에 올라와 있는 .tgz파일 경로 순회한 후 실행될 수 있고, 보통 서버에서 실행되는 스크립트를 덮어쓸 수 있다."는 것을 알아냈다.
uncovering
덮개를 벗기다, 뚜껑을 열다
(비밀 등을) 알아내다[적발하다]
sanitize
불쾌한 부분을 제거하다, 건전하게 보이도록 하다
위생 처리하다, 살균하다
arbitrary
임의적인, 제멋대로인
전횡을 일삼는, 독단적인
execute
처형하다
실행하다
해내다
traversal
가로지르는, 여기저기돌아다니는
순회
npm
(Node Package Manager)
Node.js 패키지 관리 도구.
8
In other words, the goal of the attack is to publish a new version of a specially-crafted package to the repository, which is then picked up the CDNJS library update server for publishing, in the process copying the contents of the malicious package into a regularly executed script file hosted on the server, thereby gaining arbitrary code execution.
다시 말해서, 공격의 목표는 특별히 만들어진 새로운 버전의 패키지를 저장소에 올리고, 그것을 올리기 위한 CDNJS 라이브러리 업데이트 서버를 선택해 악의적인 패키지를 서버에서 호스팅되고있는 스크립트 파일에 복사함으로써 임의적인 코드를 실행하게 되는 것이다.
in other words
다시 말하면, 다시 말해서
craft
공예
기술
공예품을 만들다, 공들여 만들다
repository
저장소[보관소]
보고
CDNJS
Cloudflare에서 호스팅하는 무료 오픈소스 소프트웨어로, 많은 JavaScript 및 CSS 라이브러리를 제공한다.
malicious
악의적인, 적의 있는
thereby
그렇게 함으로써, 그것 때문에
gain
(필요하거나 원하는 것을) 하게[얻게] 되다
(이익혜택을) 얻다
(특히 부체중의) 증가
9
"While this vulnerability could be exploited without any special skills, it could impact many websites," RyotaK said. "Given that there are many vulnerabilities in the supply chain, which are easy to exploit but have a large impact, I feel that it's very scary."
"특별한 기술이 없어도 이 취약성이 이용될 수 있는 반면, 많은 웹사이트에 영향을 미칠 수 있다"라고 RyotaK가 말했다. "공급망에 이용하기 쉽지만 영향이 큰 취약점들이 많다는 것을 고려해 볼 때, 그것이 매우 무섭게 느껴진다."
while
~하는 동안
잠깐, 잠시, 동안
반면
vulnerability
상처[비난]받기 쉬움, 약점이 있음, 취약성, 취약점
exploit
(부당하게) 이용하다
착취하다, 등쳐먹다
위업, 공적
대척하다, 개발하다, 활용하다
선전하다, 판촉하다
given
(이미) 정해진
특정한
...을 고려해 볼 때
supply chain
(상품의) 연쇄적인 생산 및 공급 과정
공급망
10
This is not the first time the security researcher has uncovered code execution flaws in the way updates to software repositories are handled. In April 2021, RyotaK disclosed a critical vulnerability in the official Homebrew Cask repository could have been exploited by an attacker to execute arbitrary code on users' machines.
보안 연구원이 저장소에 대한 업데이트가 처리되는 방식에서 코드 실행 결함을 발견한 것은 처음이 아니다. 2021년 4월 RyotaK는 Homebrew Cask 저장소의 치명적인 취약점이 공격자가 임의 코드를 사용자의 컴퓨터에서 실행시키는 데 이용되어왔을 수도 있었을 것이라고 밝혔다.
flaw
결함
흠
결점
handle
다루다
만지다
손잡이
disclose
밝히다[폭로하다]
드러내다
Words
CDN
서버와 사용자 사이의 물리적 거리를 줄여 웹 페이지 콘텐츠 로드 지연을 최소화 하는 분산된 서버로 이루어진 플랫폼
could have led to
초래할 수 있다
widespread
광범위한, 널리 퍼진
infrastructure
인프라
vulnerability
취약점
concern
영향을 미치다, 관련되다, 관한 것이다
compromise
타협, 손상, 위태롭게 하다
evidence
증거
in-the-wild attack
테스트 시스템과 달리 컴퓨터 간에 확산되는 위협
abusing
남용, 오용
flaw
결함
ultimately
궁극적으로
thus
이렇게 하여, 이와 같이, 따라서, 그러므로
relevant
관련있는, 적절한
respective
각각의
npm
Nodejs 패키지 관리자
uncovering
덮개를 벗기다, 뚜껑을 열다
(비밀 등을) 알아내다[적발하다]
sanitize
불쾌한 부분을 제거하다, 건전하게 보이도록 하다
위생 처리하다, 살균하다
arbitrary
임의적인, 제멋대로인
전횡을 일삼는, 독단적인
execute
처형하다
실행하다
해내다
traversal
가로지르는, 여기저기돌아다니는
순회
npm
(Node Package Manager)
Node.js 패키지 관리 도구.
In other words
다시 말하면, 다시 말해서
craft
공예
기술
공예품을 만들다, 공들여 만들다
repository
저장소[보관소]
보고
CDNJS
Cloudflare에서 호스팅하는 무료 오픈소스 소프트웨어로, 많은 JavaScript 및 CSS 라이브러리를 제공한다.
malicious
악의적인, 적의 있는
thereby
그렇게 함으로써, 그것 때문에
gain
(필요하거나 원하는 것을) 하게[얻게] 되다
(이익혜택을) 얻다
(특히 부체중의) 증가
while
~하는 동안
잠깐, 잠시, 동안
반면
vulnerability
상처[비난]받기 쉬움, 약점이 있음, 취약성, 취약점
exploit
(부당하게) 이용하다
착취하다, 등쳐먹다
위업, 공적
대척하다, 개발하다, 활용하다
선전하다, 판촉하다
given
(이미) 정해진
특정한
...을 고려해 볼 때
supply chain
(상품의) 연쇄적인 생산 및 공급 과정
공급망
flaw
결함
흠
결점
handle
다루다
만지다
손잡이
disclose
밝히다[폭로하다]
드러내다