홈으로 돌아가기

Axios CVE-2026-40175 취약점: AWS에 대한 위험

Axios 라이브러리의 치명적인 취약점 CVE-2026-40175가 Prototype Pollution과 CRLF Injections를 통해 AWS IMDS 및 IAM Tokens 액세스를 허용합니다. 1.15.0 미만 버전에 영향을 미치며, 공개 PoC 사용 가능. 위험 최소화를 위해 즉시 업데이트와 종속성 감사를 권장합니다.

Axios 취약점: 클라우드 침해 경로 공개
Advertisement 728x90

프로토타입 오염을 통한 공격 체인, 클라우드 인프라 위협하는 Axios 취약점

Axios 1.15.0 이전 버전에는 CVE-2026-40175이라는 심각한 취약점이 존재하며, 공격자가 프로토타입 오염을 통해 원격 코드 실행(RCE)을 수행하고 AWS 리소스를 탈취할 수 있습니다. 이미 공개된 개념 검증(PoC) 익스플로잇이 있으며 패치도 제공되고 있으므로 모든 사용자는 즉시 업데이트해야 합니다.

공격 방식과 위험 요소

이 취약점은 AxiosHeaders.set 메서드에서 CR 및 LF 문자에 대한 적절한 검증이 부족하기 때문에 발생합니다. 오염된 Object 프로토타입 속성이 필터링 없이 HTTP 헤더로 전달될 경우 CRLF 인젝션이 가능해집니다.

공격 체인은 일반적으로 qs, minimist 또는 body-parser와 같은 의존성 라이브러리부터 시작됩니다. 한 번 Object.prototype이 오염되면 Axios가 이를 상속하면서 악성 헤더 삽입과 HTTP 요청 분할이 발생합니다. 그 결과 공격자는 169.254.169.254 주소의 AWS 인스턴스 메타데이터 서비스(IMDS)에 접근할 수 있게 됩니다.

Google AdInline article slot

클라우드 환경에 미치는 영향:

  • PUT 요청을 통한 임시 IAM 토큰 탈취
  • 인프라 전반의 권한 상승
  • 마이크로서비스 및 컨테이너 전체 장악

이 취약점은 광범위하게 확산되어 있습니다. 러시아권 인터넷에서 조사된 2만 개 이상의 활성 호스트 중 약 39%가 해당 취약점에 노출되어 있으며, 백엔드 서비스 내부에서 숨겨진 형태로 사용되는 경우를 고려하면 실제 비율은 더 높을 것으로 예상됩니다.

침해 지표(IOCs)

로그 모니터링을 통해 공격을 조기에 탐지할 수 있습니다. 주요 경고 신호는 다음과 같습니다:

Google AdInline article slot
  • 169.254.169.254 대상의 비정상적인 PUT 요청
  • 헤더 내 __proto__ 또는 constructor.prototype 조작
  • 요청 내 %0d%0a 또는 \r\n과 같은 CRLF 시퀀스 존재
  • 예기치 않은 IP 주소에서의 IAM 토큰 무단 사용
  • Node.js 애플리케이션에서의 헤더 파싱 오류 및 HTTP 500 응답

완화 조치 및 배경 정보

프로토타입 오염(Prototype Pollution)은 자바스크립트의 동적 특성을 악용하는 잘 알려진 기법입니다. npm 생태계에서는 Axios처럼 주간 다운로드 수 6천만 건이 넘는 인기 라이브러리의 취약점이 수백만 애플리케이션에 시스템적인 위험을 초래할 수 있습니다.

근본 원인: HTTP 헤더에 대한 엄격한 입력 검증 부재. 이는 제3자 의존성 라이브러리가 은밀히 취약점을 전파하는 소프트웨어 공급망의 구조적 문제를 반영합니다.

산업계 영향: CVSS 3.1 기준 9.9~10.0의 심각도 점수는 클라우드 제공업체에게 매우 큰 위협임을 의미합니다. 과거 Log4Shell 사례처럼 지역적인 결함이 글로벌 보안 위기로 확대될 수 있음을 보여줍니다.

Google AdInline article slot

권장 조치:

  • assertValidHeaderValue 검사를 포함하는 Axios 1.15.0 이상으로 즉시 업그레이드
  • npm audit 및 SCA 도구를 활용한 의존성 라이브러리 감사
  • 네트워크 정책 및 보안 그룹을 통한 IMDS 접근 제한
  • WAF 규칙 설정을 통해 의심스러운 패턴 차단

핵심 요약

  • 본 결함은 프로토타입 오염과 CRLF 인젝션을 통해 RCE를 유도하며, AWS 워크로드에 직접적인 위협이 됩니다.
  • 1.15.0 미만 모든 버전에 영향을 미치며, PoC 익스플로잇은 2026년 4월 10일부터 공개되었습니다.
  • 조사된 호스트의 39%가 여전히 노출 상태 — 위험을 과소평가하는 것은 위험합니다.
  • 패치는 제공되었으나, 전체 의존성 체인에 대한 검증이 필요합니다.
  • 더 큰 함의: 클라우드 환경에서 제로 트러스트 아키텍처의 중요성을 재확인시켜 줍니다.

— Editorial Team

Advertisement 728x90

다음 읽기