[뉴스 요약] 애플 웹사이트 해킹해서 한화로 약 4500만원 포상금 받은 20살 청년 - HTTP Request Smuggling

원문 제목 : Apple paid out $36,000 bug bounty for HTTP request smuggling flaws on core web apps – research

 

요약하자면 이렇습니다.

 

Stealthy 라는 닉네임으로 활동하고 있는 20살 버그헌터가 애플 사의 중요 웹사이트 3개(business.apple.com, school.apple.com, mapsconnect.apple.com)에서 HTTP Request Smuggling 취약점을 찾은 것인데요.

 

기본적으로 이 HTTP Request Smuggling 취약점은 이른바 CL(Content-Length), TE(Transfer-Encoding) 라는 용어가 나오는데요. 프론트 엔드 서버에서 CL 헤더를 request에서 읽어들이고, 그리고 백엔드 서버에서는 TE 헤더를 읽어들이게 되는 문제로부터 발생하는 취약점입니다.

 

자세한 취약점 로직은 Stealthy 블로그에 설명된 걸 참고하면 될 것 같습니다.

https://medium.com/@StealthyBugs/http-request-smuggling-on-business-apple-com-and-others-2c43e81bcc52

HTTP Request Smuggling on business.apple.com and Others.

 

예전에 해당 취약점 관련해서 거의 동일하게 CTF 문제로도 나왔었는데, 제가 기억하기로는 2021 Metasploit Community CTF 에서 3 of Hearts 웹 문제에서 HTTP Request Smuggling 을 이용한 관리자 세션 탈취 후 관리자의 private 페이지에 접근하여 Flag를 획득하는 문제였던 걸로 기억합니다.

 

당시에 사용했던 페이로드는 아래와 같았습니다. Stealthy 블로그에서 설명하는 것과 거의 동일한 형태죠?

GET /save.php?first=1 HTTP/1.1
Host: threeofhearts.ctf.net
Content-Encoding: chunked
Content-Type: application/x-www-form-urlencoded
Content-Length: 160
Transfer-Encoding: chunked

5f
0

GET /save.php?second=1 HTTP/1.1
Host: threeofhearts.ctf.net
Content-Length: 40
Cookie: 
0

GET /save.php?second=222 HTTP/1.1
X-Access: localhost

 

그래서 그 때의 CTF 문제와 동일한 기법을 활용하여 Stealthy 라는 버그헌터는 애플을 털었다고 하니 저는 더욱 흥미로웠는데요.

 

공격자는 HTTP Request Smuggling 취약점이 있다는 것을 공격자의 서버로 요청이 오게끔 queue poisoning을 시키고, javascript 를 실행시키게 하는 등 Stored Cross-Site Scripting(XSS) 취약점과 연계하여 사용자의 중요 정보나 계정 탈취로까지의 가능성을 제시하여 영향력을 어필한 것으로 보입니다.

 

그렇게 해서 애플은 3개 도메인을 각각 $12,000 포상금으로 책정하여 총 $36,000 달러를 버그헌터에게 지급했다고 하네요.

 

저런 거 보면 시도 자체도 훌륭하지만 포기하지 않고 끝까지 파고 들어 해내는 모습을 보면 많이 본받게 되는 것 같습니다. HTTP Request Smuggling 취약점 자체가 오픈 소스 라이브러리 취약점으로 평가하면 Low, Medium 정도 책정되는 것 같은데, 실제 웹사이트에서는 영향도까지 책정하다보니깐 애플 같은 대기업에서는 아무래도 개인정보유출이 파격이 크다 보니깐 생각보다 높게 금액을 평가하는 것 같다는 생각이 듭니다.