CVE-2026-28279: osctrl-admin 등록 스크립트 명령어 삽입

Source: Dev.to

취약점 세부 정보

• 취약점 ID: CVE-2026-28279
• CVSS 점수: 7.3 (높음)
• 공개일: 2026-02-28
• CWE ID: CWE-78 (OS 명령에 사용되는 특수 요소의 부적절한 중화)
• 공격 벡터: 인접 네트워크
• 악용 상태: 개념 증명(PoC) 제공됨
• EPSS 점수: 0.00112

osctrl osquery 관리 플랫폼의 osctrl‑admin 구성 요소에 치명적인 명령어 삽입 취약점이 존재합니다. 인증된 관리자는 environment hostname 매개변수를 통해 생성된 등록 스크립트에 임의의 셸 명령을 삽입할 수 있습니다. 이러한 스크립트가 엔드포인트에서 osquery 에이전트를 설치하기 위해 실행될 때, 삽입된 명령은 높은 권한(보통 root 또는 SYSTEM)으로 실행되어 전체 Fleet에 대한 침해가 가능해집니다.

• 영향을 받는 버전: osctrl‑admin < 0.5.0, osctrl < 0.5.0
• 수정 버전: 0.5.0

기술적 세부 사항

이 취약점은 등록 스크립트를 생성할 때 사용되는 hostname 필드에 대한 검증이 충분하지 않아서 발생합니다. 공격자는 다음과 같은 값을 제공할 수 있습니다:

myhost; rm -rf / # 

이 값이 스크립트에 그대로 삽입되어 대상 시스템에서 명령이 실행됩니다.

예시 수정 – 엄격한 정규식 필터링

// HostnameFilter validates environment hostnames.
// Only alphanumeric characters, dots, and hyphens are allowed.
func HostnameFilter(s string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9.\-]+$`)
    return re.MatchString(s)
}

완화 단계

1. 업그레이드: osctrl를 0.5.0 이상 버전으로 즉시 업데이트합니다.
2. 검토: osctrl‑admin 대시보드에 있는 모든 기존 환경 구성에서 의심스러운 hostname 항목을 확인합니다.
3. 재생성 및 검사: 아직 실행되지 않은 다운로드된 등록 스크립트를 다시 생성하고 검토합니다.
4. 업그레이드를 바로 적용할 수 없는 경우, 웹 애플리케이션 방화벽(WAF) 규칙을 적용하여 셸 메타문자(;, |, $, `)를 포함한 환경 엔드포인트에 대한 POST 요청을 차단하는 것을 고려합니다.
5. 일반적인 보강 조치 적용:
   • 모든 사용자 입력 필드에 대한 입력 정화.
   • osquery 에이전트에 최소 권한 원칙 적용.
   • 명령어 구성에 초점을 맞춘 정기적인 코드 리뷰.

참고 자료

• GHSA‑rchw‑322g‑f7rm – 보안 권고.
• NVD Entry for CVE‑2026‑28279.
• Full report for CVE‑2026‑28279 (available on the vendor’s website).