math.js 원격 코드 실행(RCE) 취약점 발견 및 악용 기법

Source

• Evernote/Inbox/How we exploited a remote execution vulnerability in math.js.md

Summary

본 문서는 math.js API(api.mathjs.org)에서 발견된 원격 코드 실행(RCE) 취약점의 발견, 악용, 그리고 책임 있는 보고 과정을 설명합니다. 작성자는 eval, Function, setTimeout 등이 차단된 환경에서 기존 함수의 생성자(constructor)를 우회하여 코드 실행을 성공시켰습니다. 구체적으로 cos.constructor("return 1")()와 같은 기법을 통해 Node.js 환경의 process 객체에 접근하고, process.binding을 이용해 OS 파일 읽기 및 child_process 기능 재구성을 통한 임의 명령어 실행 가능성을 입증했습니다.

Key Points

• math.js API는 eval 및 Function 등 직접적인 코드 실행 함수를 차단하거나 안전 버전으로 대체하여 보호하고 있음.
• 우회 기법: 기존에 정의된 함수(예: cos, Math.floor)의 .constructor 속성을 통해 Function 생성자에 간접 접근하여 임의 코드 실행 가능함 (예: cos.constructor("return 1")()).
• Node.js 환경에서 require는 사용 불가하나, process 객체는 접근 가능하여 환경 변수(process.env) 및 내부 바인딩(process.binding)을 활용할 수 있음.
• process.binding('fs')를 사용하여 서버의 로컬 파일(예: /etc/passwd) 읽기가 가능함을 확인함.
• child_process 모듈을 직접 require하지 않고, Node.js 소스 코드의 spawn_sync 바인딩과 관련 함수를 재구성하여 임의 명령어 실행(Spawn) 가능성을 시연함.

Related

• 카카오 블라인드 공채 플랫폼 취약점 분석 (2017)

• proxyquire: Node.js require 의존성 오버라이드 라이브러리

• Nock: Node.js HTTP 모킹 라이브러리

• JavaScript 기반 분산 컴퓨팅 고려사항

• Node.js 란? (IBM developerWorks)

• Node.js on Android (2013)

• Node.js 의 핵심 관점 (Core Perspective to NodeJS)

• 비동기적 JavaScript

• harp.js: 전처리 기능을 갖춘 정적 웹서버

• ECMAScript 6 Generator 개요 및 Node.js 활용

• Node.js 세션 관리 (Session Management)

• Node.js 네이티브 애드온의 인자 검증 개선 (NanCheck)

• Cycle.js

• PayPal 의 Node.js 전환 사례 요약

• 카카오페이 QR 코드 리버스 엔지니어링

• Node.js Cluster 모듈 개요 및 활용

• Node.js 유지 사용의 이유 (Mimul’s Developer World)

• Go vs Node.js vs C++: 서버 사이드 언어 선택의 기준

• WebSocket과 Node.js를 이용한 동시 영상 동기화 데모

• Meteor.js 시작하기 및 아키텍처 개요

• io.js 프로젝트의 탄생 배경과 Node.js 포크 과정

• Angular.js 의 핵심 개념 및 장점 요약

• 한국 웹20주년 국제 콘퍼런스 Node.js 발표 회고

• Java 기반 웹 채팅 서버의 동시성 문제 및 아키텍처 검토

• Fluent 2016: Node.js 기반 하이퍼미디어 마이크로서비스 구현 튜토리얼

• 페이스북 스파르탄 프로젝트의 비밀병기 Bolt.JS

• O Docs를 사용한 API 문서화

• GitHub의 jQuery 제거 사례

• PayPal의 Kraken.js 프레임워크 리뷰 및 평가

• 실시간 투표 애플리케이션 구축 (Node.js, Express, AngularJS, MongoDB)

• Angular 2 대신 Vue.js 선택 및 React 배제 이유

• Java 채팅 서버 구현 시 쓰레드 동기화 및 성능 이슈 토론 (2002)

• Three.js 시작 가이드 (Aerotwist)

• Play Framework 개요

• WebAssembly (WASM) 개요 및 설계 목표

• React vs Vue 비교 (2019 Edition, React Hooks 기준)

• EasyMock: RESTful API Mock 서버

• AngularJS 기초편 (번역서) 리뷰

• jQuery 애플리케이션 아키텍처 도구 (Addy Osmani)

• React vs AngularJS 비교 (Quora)

• AngularJS 와 RequireJS 를 활용한 대규모 웹 어플리케이션 개발

• 넷플릭스 성능 케이스스터디 (NHN FE.JS Wiki #184)

• 리팩토링 개요 및 기법 요약

• 곽철용 짤 생성기 개발 후기 (Vue + HTML Canvas)

• Java 웹 개발에서 .do 확장자의 기원과 관행

• Key-based cache expiry: A developer’s primer

• Thinking in React (리액트스럽게 생각하기)

• Oj (Optimized JSON)

• 재미로 만든 버블채팅 (KTH H3 컨퍼런스)

• GPU 동작 원리 및 아키텍처 개요

• 자바스크립트 아키텍처 v0.4

• 풀스택 JavaScript 프레임워크 학습 조언 (Quora)

• List.js: HTML 리스트의 검색, 정렬, 필터링을 위한 경량 JavaScript 라이브러리

• 리액트(React) 및 리액트 네이티브 개요 (2015)

• 임베디드 웹 서버: 제한된 리소스에서의 효율적 포맷팅

• 2013년 자바스크립트 프레임워크 인기 동향 (Caliper Blog)

• myKlaytnContract: 소스 코드 없이 Klaytn 스마트 컨트랙트 배포 및 상호작용

• Velocity 2014: PageSpeed 인사이트 및 QuickBooks Online 클라이언트 사이드 아키텍처

• 8bit.js: Web Audio API 기반 8비트 사운드 라이브러리