세미콜론 하나에 뚫린 깃허브... AI가 찾아낸 역대급 RCE 취약점
깃허브 내부 자산 관리 인프라에서 수백만개의 비공객 저장소를 무자비하게 탈취할 수 있는 치명적 RCE 취약점(CVE-2026-3854)을 발견했다.
Wiz에서 AI도구를 활용해 이진파일을 정밀히 분석하는 과정에서 발견되었다.
원인은? 🤔
내부 프록시 서버가 사용자 입력값중 세미콜론을 제대로 거르지 못하는 허점에 있었다고 한다.
개발자가 코드를 서버로 전송할때 사용하는 git push 명령어 뒤에 세미콜론을 하나더 섞어 넣어 취약점을 악용했으며 실행경로를 조작한 뒤 관리자의 권한 없이도 서버에서 임의의 명령을 실행하는 공격 체인을 완성시켰다.
이 취약점을 통해 서버의 모든 데이터와 내부 비밀 정보에 대한 전권 장악이 가능했으며 플래그 조작으로 타인의 저장소 파일시스템에 접근할 수 있는 위기에 노출 되었다.
대응 🛡️
Github는 보고를 받자마자 6시간만에 지체없이 긴급패키를 적용시켰으나 깃허브 엔터프라이즈 서버 사용자중 88%는 여전히 무방비 상태로 남아있다. 서버 관리자는 즉각 최신 버전으로 업데이트를 진행하고 감사로그를 뒤져 과거의 침입 흔적을 조사해야 한다고 한다.
CVSS 점수는 8.8이다.
