aiohttp 3.9.1, 디렉토리 트래버설 취약점 발견 (PoC 공개)

보안 연구진들은 Python용 비동기 HTTP 클라이언트/서버 프레임워크인 aiohttp 3.9.1에서 치명적인 디렉토리 트래버설(directory traversal) 취약점이 발견되었다고 공개했습니다. 공격자가 이 취약점을 악용하면 의도된 디렉토리 구조 외부에서 민감한 파일에 접근할 수 있음을 보여주는 **공격 개념 증명(PoC)**이 이미 배포된 상태입니다.

기술적 세부 사항

이 취약점은 aiohttp 버전 3.9.1에서 확인되었으며, 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 통해 디렉토리 트래버설 공격을 수행할 수 있습니다. 현재 CVE ID는 할당되지 않았지만, **Exploit-DB에 게시된 ID 52474**의 PoC를 통해 무단 파일 노출 위험이 확인되었습니다.

주요 기술적 사항은 다음과 같습니다:

• 영향을 받는 소프트웨어: aiohttp 3.9.1 (Python 비동기 HTTP 프레임워크)
• 공격 벡터: 경로 트래버설 시퀀스(예: ../)가 포함된 악의적인 HTTP 요청
• 영향: 취약한 서버에서의 임의 파일 읽기 접근
• 공격 코드 공개: Exploit-DB에 PoC 공개

영향 분석

서버 모드로 aiohttp 3.9.1을 실행 중인 조직은 설정 파일, 자격 증명, 기타 중요 데이터 등 민감한 파일이 노출될 위험이 있습니다. 이 취약점은 원격에서 인증 없이 악용될 수 있어, 영향을 받는 시스템에서는 고위험으로 분류됩니다.

PoC가 공개된 만큼, 보안 팀은 이미 공격이 시도되고 있을 가능성을 가정하고 즉각적인 패치 또는 대응 조치를 취해야 합니다.

권장 조치 사항

1. 즉시 업그레이드: aiohttp 프로젝트에서 공식 패치가 배포되는 즉시 적용하세요.
2. 임시 대응 방안:
   • aiohttp 서버를 방화벽 또는 VPN 뒤로 접근을 제한하세요.
   • 경로 트래버설 시퀀스를 차단하는 입력 검증을 구현하세요.
   • 불필요한 경우 디렉토리 리스팅을 비활성화하세요.
3. 공격 시도 모니터링: 서버 로그에서 ../ 또는 기타 트래버설 패턴이 포함된 의심스러운 요청을 검토하세요.

자세한 내용은 Exploit-DB의 원본 PoC를 참고하세요.

이 기사는 추가 정보가 확인되는 대로 업데이트될 예정입니다.