Polyfill.io 공급망 공격 및 사이트 보호 방법

지금까지 오픈 소스 polyfill.io 서비스를 사용하는 많은 웹 사이트를 위협하는 주요 소프트웨어 공급망 공격에 대해 들어 보셨을 것입니다. 이 문서에서는 문제에 대한 배경 정보와 사용자를 보호하기 위해 취할 수 있는 업데이트된 조치를 제공합니다. Edgio의 서비스는 이 공격의 영향을 받지 않지만, 당사의 보안 팀은 웹 사이트나 애플리케이션에서 polyfill.io를 사용했을 수 있다고 우려하는 모든 고객을 지원할 준비가 되어 있습니다.

polyfill.io의 배경

최근의 polyfill.io 공급망 공격을 이해하려면 먼저 “polyfil”이라는 용어를 정의해야합니다. Polyfill은 최신 웹 기능을 기본적으로 지원하지 않는 이전 브라우저에 최신 기능을 추가하는 코드를 말합니다. 개발자는 다양한 브라우저, 특히 최신 웹 표준을 채택하는 속도가 느린 브라우저에서 일관된 사용자 환경을 제공할 수 있습니다. polyfill.io 공격의 경우 개발자는 polyfill을 사용하여 이전 브라우저에서 지원하지 않는 JavaScript 기능을 추가했습니다.

Polyfill.io는 최종 사용자의 브라우저를 자동으로 감지하고 최신 웹 기술과의 호환성을 보장하기 위해 필요한 폴리필을 제공하는 널리 사용되는 서비스입니다. cdn.polyfill.io(polyfill.io의 오픈 소스 CDN)의 스크립트를 임베드함으로써 개발자는 수동 관리의 번거로움 없이 polyfill을 원활하게 제공할 수 있으며 브라우저 호환성을 유지하는 프로세스를 단순화할 수 있습니다.

그러나 올해 초 polyfill.io는 상대적으로 알려지지 않은 중국 회사인 Funnull에 인수되었습니다. 인수는 전략적으로 중요한 공급망 공격의 시작을 표시한 것으로 보입니다. 2024년 6월 말, 보안 회사 Sansec은 이 서비스가 수천 개의 웹사이트에 악성 코드를 주입하여 사용자를 사기 사이트로 리디렉션하고 잠재적인 데이터 도난 및 무단 행위에 노출시키는 데 사용되었다고 경고했습니다.

Polyfill.io 공격의 영향을 받는 사람은 누구입니까?

이 공급망 공격의 영향은 광대하며 전 세계 100,000개 이상의 웹 사이트에 영향을 미칩니다. cdn.polyfill.io의 스크립트를 포함하는 모든 웹 사이트는 위험합니다. Funnull에서 도입된 악성 스크립트는 사용자를 사기 사이트로 리디렉션하고 데이터 도난을 허용하며 원격 코드 실행을 허용합니다. 특히 이 공격은 모바일 사용자와 특정 시점에 특정 대상 장치를 손상시켜 보안 도구 및 분석에 의한 탐지를 회피했습니다.

공급망 공격: 알아야 할 사항

공격자가 타사 스크립트를 손상시킨 후 취할 수 있는 사악한 가능성은 많지만 더 일반적인 가능성은 다음과 같습니다.

• 악성 사이트로 리디렉션: 손상된 스크립트를 사용하는 웹 사이트는 무의식적으로 사용자를 가짜 Google Analytics 또는 스포츠 베팅 사이트와 같은 사기 사이트로 리디렉션할 수 있습니다. 이러한 악의적인 리디렉션은 사용자의 신뢰를 손상시키고 피싱 공격으로 이어질 수 있습니다.
• 데이터 도난 및 코드 실행: 수정된 스크립트는 사용자로부터 중요한 데이터를 훔치고 무단 코드 실행을 수행하여 웹 사이트 무결성과 사용자 개인 정보에 심각한 위험을 초래할 수 있습니다. 인증되지 않은 스크립트는 개인 정보, 신용 카드 정보, 로그인 자격 증명 등의 중요한 사용자 데이터를 외부 서버로 유출할 수 있습니다.
• 크로스 사이트 스크립팅(XSS): 악성 스크립트가 사용자 브라우저의 컨텍스트에서 실행되어 세션 하이재킹, 맬웨어 배포 및 앞서 언급한 데이터 유출로 이어질 수 있습니다.
• 사이트 변조: 공격자가 웹 페이지의 모양이나 콘텐츠를 수정하여 브랜드에 손상을 입히고 사용자 신뢰를 잃을 수 있습니다.
• 성능 저하: 악의적이거나 인증되지 않은 스크립트가 심각한 애플리케이션 성능 문제를 일으켜 웹사이트 속도가 느려지고 사용자 환경이 저하될 수 있습니다.

사이트와 사용자를 보호하기 위해 무엇을 할 수 있습니까?

오늘날의 최신 앱에서 이러한 공격과 타사 라이브러리에 대한 의존도가 높다는 점을 고려할 때 개발자와 사이트 관리자는 웹 사이트와 사용자를 보호하기 위해 즉각적인 조치를 취해야 합니다. 최신 지침은 다음과 같습니다.

• Polyfill.io를 사용하여 사이트 식별: 이 공격으로부터 사이트와 사용자를 보호하는 첫 번째 단계는 코드가 polyfill.io를 참조하는지 여부를 확인하는 것입니다.

SAST(Static Application Security Testing) 솔루션이 있는 경우 쿼리를 실행하여 polyfill.io에 대한 참조를 찾을 수 있습니다(구문은 다를 수 있지만 다음 Regex를 사용하면 됩니다).

결과 = Find_Strings().FindByRegex(@\”https?://(cdn.polyfill.io)\”);

또한 오픈 소스 구성 요소와 해당 취약점을 식별하고 관리하는 데 중점을 둔 SCA(Static Code Analysis) 도구가 도움이 될 수 있습니다. SCA 도구는 라이브러리 및 프레임워크와 관련된 알려진 취약점의 데이터베이스를 유지 관리합니다. SCA 도구는 코드베이스를 검사하여 알려진 보안 문제로 모든 종속성(polyfill.io 포함)에 플래그를 지정할 수 있습니다.

SAST 또는 SCA가 없는 경우, 보안 테스트 전용으로 적극적으로 유지 관리되는 GitHub Top 1000 프로젝트인 ZAP의 다음 단계를 따르는 것이 좋습니다.

docker run -t zaproxy/zap-stable zap.sh -cmd -addoninstall pscanrulesBeta -zapit https://www.example.com/

ZAP의 Polyfill.io Script Detection에서 polyfill.io 도메인에서 제공되는 스크립트를 확인하기 위해 사용하는 한 줄 명령입니다(Docker 필요). 보다 강력한 검색을 위해 ZAP 기준 검사를 실행합니다.

• 클라이언트측 보호 구현: 클라이언트측 보호는 스크립트와 타사 API 호출을 실시간으로 모니터링 및 제어하여 악성 코드 로드를 방지하고 악성 호스트와의 무단 상호 작용을 차단함으로써 공급망 공격으로부터 보호합니다.

Edgio의 Client-Side Protection 솔루션은 정의된 타사 스크립트만 클라이언트 브라우저에서 실행되도록 허용함으로써 팀이 긍정적인 보안 모델을 구현할 수 있도록 합니다.