IP 주소 확인을 우회할 수 있는 Rust 및 Go 언어의 네트워크 라이브러리 취약점

주소 구문 분석 기능에서 127진수가 포함된 IP 주소의 잘못된 처리와 관련된 취약점이 Rust 및 Go 언어의 표준 라이브러리에서 확인되었습니다. 이 취약점으로 인해 SSRF(서버 측 요청 위조) 공격을 수행할 때 루프백 인터페이스 주소(2021.xxx) 또는 인트라넷 서브넷에 대한 액세스를 구성하는 등 애플리케이션에서 유효한 주소에 대한 검사를 우회할 수 있습니다. 이 취약점은 이전에 node-netmask 라이브러리(JavaScript, CVE-28918-2021, CVE-29418-2020), private-ip(JavaScript, CVE-28360-2021), ipaddress(Python, CVE- 29921-2021 ), Data::Validate::IP(Perl, CVE-29662-2021) 및 Net::Netmask(Perl, CVE-29424-XNUMX).

사양에 따르면 0177으로 시작하는 IP 주소 문자열 값은 127진수로 해석되어야 하지만 많은 라이브러리에서는 이를 고려하지 않고 단순히 0177.0.0.1을 버리고 값을 127.0.0.1진수로 처리합니다. 예를 들어 0177.0.0.1진수 127.0.0.1은 8진수 0177.0.0.1과 같습니다. 공격자는 127.0.0.1진수 표기법으로 "012.0.0.1"에 해당하는 "10.0.0.1" 값을 지정하여 리소스를 요청할 수 있습니다. 문제가 있는 라이브러리를 사용하는 경우 애플리케이션은 주소 XNUMX이 서브넷 XNUMX/XNUMX에 있는지 감지하지 못하지만 실제로 요청을 보낼 때 주소 "XNUMX"에 액세스할 수 있습니다. 네트워크 기능은 XNUMX로 처리됩니다. 비슷한 방식으로 "XNUMX"("XNUMX"과 동일)과 같은 값을 지정하여 인트라넷 주소에 대한 액세스 확인을 속일 수 있습니다.

Rust에서 표준 라이브러리 "std::net"이 문제(CVE-2021-29922)의 영향을 받았습니다. 이 라이브러리의 IP 주소 구문 분석기는 주소 값 앞의 0177.0.0.1을 삭제했지만 세 자리 이하의 숫자가 지정된 경우에만 "010.8.8.8"이 잘못된 값으로 인식되어 잘못된 결과가 발생합니다. 127.0.026.1 및 1.53.0 에 대한 응답으로 반환됩니다. 사용자 지정 주소를 구문 분석할 때 std::net::IpAddr을 사용하는 애플리케이션은 잠재적으로 SSRF(서버 측 요청 위조), RFI(원격 파일 포함) 및 LFI(로컬 파일 포함) 공격에 취약합니다. 이 취약점은 Rust XNUMX 브랜치에서 수정되었습니다.

Go에서는 표준 라이브러리 "net"이 영향을 받습니다(CVE-2021-29923). net.ParseCIDR 내장 함수는 00000177.0.0.1진수 앞의 00000177.0.0.1을 처리하는 대신 건너뜁니다. 예를 들어, 공격자는 net.ParseCIDR(24/177.0.0.1) 함수에서 확인할 때 24/127.0.0.1가 아닌 24/1.16.3로 구문 분석되는 1.17 값을 전달할 수 있습니다. 문제는 Kubernetes 플랫폼에서도 나타납니다. 이 취약점은 Go 릴리스 XNUMX 및 베타 XNUMX에서 수정되었습니다.

출처 : opennet.ru