Axios 라이브러리의 헤더 주입(CRLF)을 악용한 클라우드 서버 권한 탈취 취약점

이 취약점은 해커가 AWS 같은 클라우드 서버의 관리자 권한을 탈취할 수 있게 만드는 치명적인 버그입니다.

공격의 연쇄 작용 (Chain): 이 공격은 Axios 단독으로 발생하지 않습니다. 여러분의 프로젝트에 설치된 다른 라이브러리에 취약점(프로토타입 오염) 이 있을 경우, 해커가 이를 징검다리 삼아 Axios를 무기(Gadget)처럼 활용합니다.

헤더 주입 및 요청 밀반입 (Request Smuggling): 해커가 특수한 줄바꿈 문자(\r\n)를 악용하면, 개발자가 작성한 안전한 Axios 요청 코드 뒤에 해커가 만든 악성 요청을 몰래 숨겨서 같이 보낼 수 있습니다. (Axios가 헤더의 줄바꿈 문자를 제대로 필터링하지 않아서 발생합니다.)

치명적인 결과: 해커는 이 숨겨진 요청을 클라우드 내부망(AWS 메타데이터 서비스)으로 보내 클라우드 보안 장치(IMDSv2)를 우회하고, 클라우드 계정 전체를 통제할 수 있는 인증키(IAM 자격 증명)를 훔쳐낼 수 있습니다.