GitHub RCE 취약점, AI가 찾아냈다!

Wiz Research는 GitHub의 내부 git 인프라에서 X-Stat 헤더(X-Stat Header) 주입 취약점(Injection Vulnerability)을 발견했다. babeld가 git push 옵션 값을 X-Stat 헤더에 삽입할 때, 세미콜론(;)을 제대로 처리하지 않아 임의의 필드를 생성할 수 있었다. 이를 통해 공격자는 `rails_env`, `custom_hooks_dir`, `repo_pre_receive_hooks` 필드를 조작하여 원격 코드 실행(RCE)을 수행할 수 있었다.

이번 취약점 발견은 AI 기반 리버스 엔지니어링 도구, 특히 IDA MCP를 활용한 결과이다. AI 기반 도구(AI-augmented Tooling)를 통해 복잡한 바이너리 코드를 빠르게 분석하고, 내부 프로토콜을 재구성하여 취약점을 찾아냈다. 댓글에서는 AI가 복잡한 시스템 내부 구조(System Internals)를 이해하고 취약점을 발견하는 데 핵심적인 역할을 했다는 점을 강조하며, 향후 보안 연구에 미칠 영향에 주목했다.

취약점은 GitHub.com과 GHES 모두에 영향을 미쳤다. GitHub.com에서는 공유 스토리지 노드(Shared Storage Node)에서 코드 실행이 가능하여, 다른 사용자 및 조직의 수백만 개의 레포지토리(Repositories)에 접근할 수 있었다. GHES에서는 서버 전체를 장악할 수 있는 심각한 문제로 이어진다. GitHub는 신속하게 패치를 배포했지만, 88%의 GHES 인스턴스가 여전히 취약한 상태로, 즉각적인 업데이트가 필요하다.

커뮤니티에서는 이번 취약점이 데이터 유효성 검사(Data Validation)의 중요성을 다시 한번 강조하는 사례로 인식하고 있다. 특히, 사용자 입력을 안전하게 처리하지 않고 문자열을 연결하는 방식의 코딩(Gluing Strings)에 대한 비판이 제기되었다. 또한, AI 기반 도구의 발전(Advancement of AI Tools)이 보안 연구에 미치는 영향에 대한 기대와 우려가 공존하며, 향후 보안 전문가들의 역할 변화에 대한 논의도 이루어졌다.

GHES 사용자들은 즉시 최신 버전(3.19.3 이상)으로 업그레이드해야 한다. Wiz Research는 취약한 GHES 인스턴스(Vulnerable GHES Instances)를 식별하기 위한 쿼리를 제공하여, 사용자들이 자사 환경의 취약성을 확인할 수 있도록 지원한다. 이번 사건은 보안 패치(Security Patch)의 신속한 적용과 지속적인 시스템 모니터링의 중요성을 강조하며, 보안 사고 예방을 위한 노력을 촉구한다.