목차
보안 실무자 여러분, 최근 공개된 Skyvern 0.1.85의 SSTI(Server-Side Template Injection) 기반 원격 코드 실행(RCE), Freefloat FTP Server 1.0에서 발견된 원격 버퍼 오버플로우 문제, 그리고 Windows 11 Version 24H2의 CrossDeviceService 권한 상승 취약점까지 — 이 세 가지는 독립적인 보안 위협인 동시에 연계될 경우 강력한 공급망 침투 루틴을 형성할 수 있는 핵심 노드가 됩니다.
이번 글에서는 각각의 취약점을 상세히 분석하고, 이들이 다단계 침투 시나리오 내에서 어떻게 기능적으로 연결될 수 있는지를 중점적으로 설명합니다.
1. Skyvern SSTI 기반 RCE 취약점 요약
Skyvern은 Python 기반의 경량 API 서버 프레임워크로, 템플릿 렌더링에서 사용된 Jinja2를 통해 사용자 입력값이 필터링 없이 평가되며 임의의 명령 실행이 가능합니다.
핵심 위험:
– 사용자 입력값이 템플릿 엔진에 그대로 전달
– 인증 없이 Python 명령 실행 (e.g., os.popen() 등)
– 초기 권한 획득, lateral movement의 교두보 형성 가능
공격 흐름 요약:
– SSTI 기반 Reverse Shell 생성
– 내부 서비스 접근 (Grafana, Redis 등)
– 다음 단계 공격 흐름 연계(Key Escalation or RCE 환경 확장)
2. Freefloat FTP Server 1.0: 원격 버퍼 오버플로우 취약점
윈도우 환경에서 실행되는 레거시 FTP 서버로, 스택 버퍼 오버플로우를 통해 호출 흐름 제어(EIP 점유)가 가능합니다.
기술적 세부사항:
– 취약 명령: USER
– EIP 덮기 및 셸코드 삽입 가능
– DEP 우회 가능 (ROP 또는 SEH 기술 활용)
공격 흐름 요약:
– 내부 FTP 호스트 식별 → 취약명령 활용 → 시스템 침투 + 후속 명령 삽입 → 권한 상승 또는 RAT 실행
3. Windows 11 24H2 Cross Device Service 권한 상승 취약점
2024년 공개된 Windows 11 Version 24H2에서 CrossDeviceService의 IPC 요청 처리 로직의 검증 부족으로 인해 로컬 권한 상승이 가능한 치명적 취약점이 발견되었습니다.
취약 구조 요약:
– IPC 요청을 필터링 없이 SYSTEM 권한으로 처리
– 표준 사용자가 악성 요청을 발송 → SYSTEM 컨텍스트에서 동작 실행 유도
공격 활용 시나리오:
– Local User가 PowerShell 또는 Python으로 NamedPipe 접근
– 악용 요청 전송 및 subprocess 사용해 SYSTEM 레벨로 변조
– 이후 백도어 등록, 랜섬웨어 투하, UAC 우회 등 공격 확장
위험도: High (CVE 미발급이지만 실사용 가능한 PoC 존재)
4. 다단계 침투 흐름에서 세 취약점의 조합
세 취약점은 개별로도 위험하지만, 공격자가 이를 시퀀스 기반 침투 루틴으로 사용할 경우 방어자는 다음과 같은 경로로 위협에 노출됩니다.
🧷 가상 공격 플로우 시나리오:
- 공개된 API 서버 침투 (Skyvern SSTI): Reverse Shell을 열어 최초 진입
- 내부 FTP 서버 식별 및 침투 (Freefloat BOF): 바이너리 쉘코드 삽입 및 루트킷 작성
- 로컬 사용자 권한에서 SYSTEM 권한 획득 (Windows 11 권한 상승): 시스템 장악
- 레지스트리 Persistence 등록, UAC 우회: 지속성 확보 및 은폐
- C2 연결 및 lateral movement: 조직 네트워크 전체로 움직임 확장
이러한 공격 플로우는 CVE 단위 대응이 불가능한 영역이며, 전체 공격 그래프 위에서 컴포넌트형 분석이 필수입니다.
5. 실무 대응 전략: 구성 요소별 방어 계획
✅ Skyvern SSTI 대응
- Jinja2 sandbox 적용
- 사용자 입력 정규식 필터링 (
{{.*}},.__globals__등) - 템플릿 렌더링 취약성 자동화 점검 도구 도입
✅ Freefloat FTP 대응
- 해당 server 폐기 및 FileZilla/vsftpd 등으로 교체
- 포트 21 ACL/방화벽 적용 및 로그 수집
- FTP 명령 기반 IDS 룰 생성 (예: 장문 USER 명령 탐지)
✅ Windows 11 24H2 권한 상승 대응
- CrossDeviceService IPC 요청 모니터링 강화
- NamedPipe 접근 이벤트 필터링 (EventID 5145)
- AppLocker/WDAC 정책 구성 및 Python/PowerShell 실행 제한
- EDR 기반 SYSTEM 권한 생성 감지 룰 구성
- 관리자 권한 획득 알림 포함된 SOC 대응 시나리오 재검토
6. MITRE ATT&CK Kill Chain 매핑 (업데이트)
| Tactic | Technique | ID |
|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 |
| Execution | Command & Scripting Interpreter (Python, PowerShell) | T1059.001 |
| Privilege Escalation | Exploitation for Privilege Escalation (CrossDeviceService) | T1068 |
| Defense Evasion | Obfuscated Files or Information / ROP | T1027 |
| Persistence | Boot or Logon Autostart Execution (registry/persistence library) | T1547 |
| Lateral Movement | Remote Services (FTP, SMB) | T1021 |
| Command and Control | Application Layer Protocol (HTTP/HTTPS) | T1071.001 |
결론: ‘취약점’이 아니라 ‘공격 루틴‘을 봐야 할 때
Skyvern SSTI, Freefloat FTP BOF, Windows 11 CrossDeviceService — 이 셋은 단순한 취약점이 아닙니다. 이들은 현실적으로 공격자가 자동화된 침투 시나리오 속에서 연결지을 수 있는 컴포넌트들입니다.
실제 공격은 다음을 따르지 않습니다:
– ‘오늘 나온 CVE만 방어하자’
– ‘서버 한 대만 점검하자’
이제는 공격 시나리오 기반 대응 체계를 탑재할 때입니다. 기업과 조직은 다음과 같은 전환이 필요합니다:
- ✅ 취약점을 기능 단위로 연결 분석하는 그래프 기반 디펜스
- ✅ 실행 시나리오 실험을 통한 응답 준비
- ✅ 공격자 도구와 언어(Python, PowerShell 등)에 대한 정책 제어
전체를 연결하는 시각이 있다면, 일부 요소만 뚫려도 전체가 무너지지 않습니다. 지금 가장 큰 위협은 연결된 취약점들 사이의 ‘빈틈’입니다.
레퍼런스
- Skyvern 0.1.85 Remote Code Execution (RCE) via SSTI, https://cxsecurity.com/wlb/
- GitHub Advisory GHSA-m63q-4hr8-5r5h: https://github.com/advisories/GHSA-m63q-4hr8-5r5h
- Freefloat FTP Server 1.0 Remote Buffer Overflow: https://cxsecurity.com/wlb/
- Windows 11 24H2 Cross Device Service Elevation of Privilege: https://cxsecurity.com/wlb/
- BleepingComputer, https://www.bleepingcomputer.com/news/security/supply-chain-attack-hits-gluestack-npm-packages-with-960k-weekly-downloads/
- Trellix, https://www.trellix.com/en-in/blogs/research/demystifying-myth-stealer-a-rust-based-infostealer/
- https://msrc.microsoft.com