Zapier가 공개한 코드의 치명적인 취약점: Zenity, #ZAPESCAPE 발견

no-code 및 low-code 개발을 위한 보안 거버넌스의 선두주자인 Zenity 는 Code by Zapier 에서 발견한 심각한 샌드박스 이스케이프 취약점을 공개했습니다. #ZAPESCAPE 라고 명명된 이 결함은 공격자에게 조직의 실행 환경에 대한 모든 권한을 부여하여 잠재적으로 결과를 조작하고 중요한 정보를 훔칠 수 있는 액세스 권한을 부여할 수 있습니다.

Zenity 의 보안 연구 팀은 2022년 3월 중순 Zap의 일부로 사용자 지정 코드를 실행하기 위해 Zapier 가 사용하는 서비스인 Code by Zapier 내에서 취약점을 발견했습니다. #ZAPESCAPE를 악용하면 사용자가 관리자의 사용자 지정 코드 실행 환경을 제어할 수 있습니다. 또한 이 악용은 관리자가 액세스할 수 없고 감지할 수 없는 사용자의 개인 폴더를 통해 수행될 수 있습니다.

Zenity 의 공동 창립자이자 CTO인 Michael Bargury 는 "우리 팀이 발견한 취약점을 통해 Zapier 사용자는 누구나 조직의 전체 환경을 완전히 제어할 수 있었습니다. 사용자는 관리자의 Zap을 읽고 조작할 수 있으며 관리자는 그것에 대해 알 방법이 없다."

Zapier 의 보안 팀은 이 문제를 신속하게 해결했으며 이제 완전히 완화되었습니다. 이 공개는 Zapier 팀과 조율되었으며 Zenity 취약점이 완전히 완화되었음을 확인했습니다. 그러나 2022년 8월 17일 이전의 Code by Zapier 사용자 계정은 악용되었을 수 있습니다.

Bargury는 Zapier 가 안전한 플랫폼이지만 취약점에 영향을 받지 않는 플랫폼은 없다고 덧붙였습니다. Zap을 생성할 때 사용자는 no-code 개발이 여전히 개발 중이고 공동 책임 모델을 준수해야 하므로 플랫폼 위에 구축한 것을 보호할 책임을 져야 합니다.

노코드/ low-code 애플리케이션, 통합 및 자동화를 위한 최초이자 유일한 보안 거버넌스 플랫폼으로서 Zenity 필수적인 서비스를 제공합니다. AppMaster 와 같은 노코드/ low-code 플랫폼이 등장하면서 전문 개발자와 일반 개발자 모두 광범위한 코딩 지식 없이도 맞춤형 소프트웨어 솔루션을 만들 수 있습니다. 그러나 이러한 편리함은 적절하게 통제 및 관리되지 않을 경우 잠재적인 보안 위험을 수반합니다.

Zenity IT 및 보안 전문가가 코드가 없는/ low-code 자산에 대한 포괄적인 가시성과 제어를 제공합니다. 이를 통해 잠재적인 취약성을 제거하고 보다 안전한 개발 방식을 채택할 수 있습니다. 이 플랫폼은 플랫폼 간 인벤토리, 지속적인 위험 평가, 자동화된 문제 해결 작업, 전체 노코드/ low-code 수명 주기 동안 보안 정책을 시행하는 거버넌스 플레이북과 같은 기능을 제공합니다.

전 Microsoft 사이버 보안 리더이자 전문가인 Ben Kliger 와 Michael Bargury 가 설립한 Zenity 는 IT 분산화를 위한 보안 거버넌스의 리더입니다. 이 회사는 Fortune지 선정 500대 기업을 비롯한 대기업과 협력하며 OWASP 상위 10개 저코드/ No-Code 보안 위험 그룹을 이끌고 있습니다.