무슨 일이 있었나
0.51.307 이전의 Hermes WebUI는 온보딩 엔드포인트를 로컬 소스 IP로 제한하지만, 검사는 클라이언트 제공 X-Forwarded-For 헤더를 신뢰합니다. 인증되지 않은 원격 공격자가 이 헤더에서 루프백 주소를 스푸핑하여 제한을 우회한 후 내부 서비스(클라우드 메타데이터 엔드포인트 포함)에 대해 SSRF를 수행하고, LLM 공급자 구성 및 API 키를 공격자 제어 값으로 덮어쓰고, OAuth 디바이스 코드 흐름을 시작하여 auth.json에 저장된 영구 액세스 토큰을 얻을 수 있습니다.
왜 중요한가
자체 호스팅되는 AI 채팅 플랫폼의 전체 신뢰 경계가 민감한 온보딩/구성 엔드포인트에서 단일 스푸핑 가능한 HTTP 헤더로 축소되어, 원격 인증되지 않은 공격자가 클라우드 메타데이터 SSRF로 피벗하고 LLM 공급자 구성 및 저장된 자격증명을 탈취할 수 있습니다 — 배포의 AI 백엔드 신뢰 체인 전체 손상입니다.
공격 경로
스푸핑된 X-Forwarded-For: 127.0.0.1 헤더로 온보딩 엔드포인트에 대한 인증되지 않은 요청은 로컬 소스 IP 제한을 우회하여 SSRF 및 구성/API 키 덮어쓰기를 가능하게 합니다.
영향받는 시스템
Hermes WebUI < 0.51.307
완화 방안
Hermes WebUI ≥0.51.307로 업그레이드하고, 인증 결정을 위해 클라이언트 제공 X-Forwarded-For를 신뢰하지 않습니다.