S2W 위협 인텔리전스센터에서 Flowise에서 발견된 취약점인 CVE-2024-8181에 대한 내용을 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서를 발간했습니다. 기업들이 AI 도구를 비즈니스 워크플로우에 통합하는 과정에서 LLM 보안성에 대한 고려를 소홀히 할 수 있기 때문에 오픈 소스 기반의 LLM 관련 플랫폼의 취약점을 통한 서버 침해 및 민감 정보 유출에 대한 주의가 필요합니다.
*Flowise란? : 오픈 소스 기반의 LLM App 제작 플랫폼입니다.
✅ 보고서 제목:
Flowise 취약점 분석: CVE-2024-8181
✅ 보고서 요약:
- 본 보고서는 2024년 8월 27일에 패치된 Flowise* 에서 발견된 취약점인 CVE-2024-8181에 대한 분석 보고서입니다.
- 본 취약점은 Flowise에서 제공하는 API 내 인증 여부 확인 검증이 미흡하여 발생한 Authenticate Bypass 취약점입니다.
- Flowise < 2.0.6 버전이 본 취약점의 영향을 받습니다.
- 해당 취약점을 통해 공격자는 원격에서 임의의 API를 호출하여, 임의 파일 쓰기 및 LLM 데이터 유출 등이 가능해집니다.
📌 CVE-2024-8181에 대한 구체적인 정보는 어떻게 되나요?
- CVE Number: CVE-2024-8181
- Disclosure or Patch Date: 2024-08-27
- Product: Flowise
- Vendor: FlowiseAI
- Confirmed Affected Versions: Flowise < 2.0.6
- Patched Version: 2.0.6 ≤ Flowise
- Reporter(Advisor): Rémy Marot (Tenable Research Team)
- Causes: Flowise는 LLM을 사용한 App을 생성하고, 이를 Control할 수 있는 여러 API를 제공합니다. Flowise의 API 중에는 단순 health 체크 용도인 ping API와 같은 인증이 필요없는 API가 있고, apikey와 같은 민감한 데이터를 확인 가능한 API가 있습니다. Flowise는 코드 흐름상 기본적으로 모든 API에 인증이 요구되고 인증이 필요하지 않는 API에 대해선 별도 예외 처리를 하여 제외되도록 작성되었습니다. 해당 취약점은 인증이 필요하지 않는 API에 대해 예외 처리를 하는 과정에서 이를 검증하는 방법이 잘못되어 인증 우회가 가능한 취약점입니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- 본 취약점은 Flowise에서 제공하는 API 내 인증 여부 확인 검증이 미흡하여 발생한 Authenticate Bypass 취약점입니다.
- 취약한 버전의 Flowise를 사용중인 경우, 최신 버전으로 업데이트를 권장합니다.
- 업데이트가 불가능한 경우, 아래의 조치 방안에 따라 조치 할 것을 권장합니다.
> 네트워크 접근 제어를 통해 허용된 네트워크에 대해서만 접근할 수 있도록 접근을 제한하세요.
- 보다 자세한 내용이 필요하신 경우, 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON (2024-12-03 기준)
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.