본문으로 건너뛰기
J
피드

엔진엑스에 18년 묵은 치명 취약점, 인증 없이 원격 코드 실행 가능

security 약 5분
tags
#nginx#rce#vulnerability#patch#web-server
vote
0
댓글
북마크

엔진엑스 플러스와 엔진엑스 오픈소스에서 18년 동안 발견되지 않았던 힙 버퍼 오버플로우 취약점이 공개됐다. 특정 리라이트 설정과 정규식 캡처가 결합될 때 조작된 HTTP 요청만으로 원격 코드 실행이나 서비스 거부 공격이 가능해, 최신 버전 업데이트가 권고된다.

  • 1

    취약점 이름은 엔진엑스 리프트이며 식별자는 CVE-2026-42945다

  • 2

    리라이트 모듈의 힙 버퍼 오버플로우로, 인증 없는 원격 코드 실행과 서비스 거부 가능성이 제기됐다

  • 3

    주소 공간 레이아웃 임의화가 꺼진 환경에서는 서버 권한 탈취 가능성도 언급됐다

  • 4

    엔진엑스 오픈소스 1.30.1과 엔진엑스 플러스 R32 P6 이상에서 수정됐다

  • 5

    즉시 패치가 어렵다면 명명되지 않은 캡처를 명명된 캡처로 바꾸는 임시 대응이 권고된다

  • 엔진엑스에서 18년 동안 숨어 있던 치명적 취약점이 공개됨

    • 이름은 ‘엔진엑스 리프트’, 식별자는 CVE-2026-42945임
    • 엔진엑스 플러스와 엔진엑스 오픈소스에 영향을 주는 것으로 소개됨

  • 취약점의 정체는 리라이트 모듈의 힙 버퍼 오버플로우임

    • 문제가 되는 모듈은 ngx_http_rewrite_module임
    • 특정 리라이트 설정과 정규 표현식 캡처 기능이 결합될 때 발생한다고 F5와 최초 발견 연구팀 뎁스퍼스트가 설명함

⚠️주의

> 공격자는 특수하게 조작한 HTTP 요청만으로 별도 인증 없이 원격 코드 실행이나 서비스 거부 공격을 시도할 수 있음. 엔진엑스가 앞단 프록시나 웹 서버로 깔린 곳이 많아서 영향 범위를 가볍게 보면 안 됨.

  • 최악의 경우 서버 장악 가능성도 언급됨

    • 주소 공간 레이아웃 임의화가 비활성화된 환경에서는 공격자가 서버 권한을 탈취해 시스템 제어권을 잡을 가능성이 제기됨
    • 원격 코드 실행과 권한 탈취가 연결되면 단순 장애 대응이 아니라 침해 사고 대응 영역으로 넘어감

  • 패치는 이미 나왔고, 버전 확인이 급함

    • 엔진엑스 오픈소스 1.30.1 이상에서 수정됨
    • 엔진엑스 플러스는 R32 P6 이상 버전에서 수정됨
    • 취약점은 4월 21일 책임 있는 공개 절차를 거쳐 공개됐다고 함

  • 같이 패치된 취약점도 3종 더 있음

    • SCGI 및 uwsgi 모듈에서는 과도한 메모리 할당 또는 메모리 읽기를 유발할 수 있는 취약점이 패치됨
    • SSL 및 Charset 모듈에서도 메모리 정보 노출과 프로세스 재시작을 유발할 수 있는 취약점이 발견됨
    • 즉, 이번 업데이트는 리라이트 모듈 하나만 보고 넘길 건이 아님

💡

> 즉시 패치가 어렵다면 리라이트 설정에서 명명되지 않은 캡처를 명명된 캡처로 바꾸는 임시 대응이 권고됨. 그래도 최종 대응은 최신 보안 버전 업데이트임.

  • 실무적으로는 엔진엑스 버전과 리라이트 설정을 같이 봐야 함
    • 단순히 “엔진엑스 쓰나요?”가 아니라, 리라이트 규칙과 정규식 캡처를 어디서 쓰는지 점검해야 함
    • 각국 보안 당국도 엔진엑스 기반 웹 서버와 인프라 전반에 대한 버전 점검과 최신 업데이트 적용을 권고하고 있음

기술 맥락

  • 이번 취약점이 까다로운 이유는 엔진엑스가 너무 흔하게 쓰이기 때문이에요. 웹 서버, 리버스 프록시, 로드밸런서 앞단에 들어가는 경우가 많아서 한 번 문제가 생기면 서비스 입구 전체가 영향권에 들어가거든요.

  • 리라이트 모듈은 요청 주소를 바꾸거나 조건별 라우팅을 할 때 자주 쓰여요. 여기에 정규식 캡처가 들어가면 설정은 유연해지지만, 이번처럼 메모리 처리 버그와 결합될 때 공격 표면이 될 수 있어요.

  • 힙 버퍼 오버플로우가 위험한 건 단순 크래시로 끝나지 않을 수 있어서예요. 공격자가 메모리 상태를 유도하고 보호 기법이 약한 환경을 만나면 원격 코드 실행까지 노릴 수 있거든요.

  • 그래서 대응은 두 단계로 가야 해요. 먼저 엔진엑스 오픈소스 1.30.1이나 엔진엑스 플러스 R32 P6 이상으로 올리고, 바로 올릴 수 없는 환경은 리라이트 설정에서 명명되지 않은 캡처를 쓰는지 확인해야 해요.

  • 특히 레거시 인프라는 주소 공간 레이아웃 임의화 같은 보호 설정이 꺼져 있을 수 있어요. 버전 패치만 체크하지 말고 런타임 보호 설정까지 같이 보는 게 맞아요.

웹 앞단에 깔린 엔진엑스 취약점은 영향 반경이 넓어서 ‘우리 서비스는 별일 없겠지’로 넘기기 어렵다. 특히 리라이트 설정과 정규식 캡처를 쓰는 조직은 버전 점검과 설정 점검을 같이 해야 한다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.