[Argus] CVE-2026-25873: OmniGen2-RL 보상 서버의 안전하지 않은 역직렬화 RCE

[LEEKIYOON-SEC]

🛡️ OmniGen2-RL 보상 서버의 안전하지 않은 역직렬화 RCE

탐지 일시: 2026-03-19 05:58:55 (KST)
탐지 사유: 신규 취약점

취약점 유형 (CWE): CWE-502

📦 영향 받는 자산

벤더	제품	버전
Beijing Academy of Artificial Intelligence (BAAI)	OmniGen2-RL	0 (단일 버전)

🔍 AI 심층 분석

항목	내용
기술적 원인	OmniGen2‑RL의 reward server에서 외부에서 전송된 HTTP POST 요청 본문을 Python pickle 모듈로 역직렬화하는 과정에서 입력 검증이 없으며, 신뢰되지 않은 데이터가 직접 역직렬화되어 임의 코드 실행이 가능하게 된다. 이는 CWE‑502(불신 데이터 역직렬화)와 일치한다.
비즈니스 영향	CVSS 벡터에 명시된 AV:N, PR:N, UI:N 등으로 네트워크를 통한 원격 공격이 가능하고 인증이 필요 없으며 사용자 개입도 요구되지 않는다. 또한 Confidentiality, Integrity, Availability 모두 High(H)로 평가되어 시스템의 데이터 유출, 변조, 서비스 중단 등 심각한 영향을 미칠 수 있다. [추정] 공격자는 민감한 데이터에 접근하거나 시스템을 파괴할 수 있다.

🏹 공격 벡터 상세

항목	내용
공식 벡터	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
상세 분석	• CVSS:4.0 • 공격 경로: 네트워크 (Network) • 복잡성: 낮음 • 공격 기술: 없음 • 필요 권한: 없음 • 사용자 관여: 없음 • 취약시스템 기밀성: 높음 • 취약시스템 무결성: 높음 • 취약시스템 가용성: 높음 • 후속시스템 기밀성: 없음 • 후속시스템 무결성: 없음 • 후속시스템 가용성: 없음

🏹 AI 예상 공격 시나리오

MITRE ATT&CK 기반 공격 흐름:
초기 접근(Initial Access) – 공격자는 인증 없이 HTTP POST 요청을 통해 공개된 reward server에 악의적인 pickle 직렬화 데이터를 전송한다 (T1190: Exploit Public-Facing Application). [추정]
실행(Execution) – 서버는 전송된 데이터를 pickle 역직렬화하면서 공격자가 삽입한 코드를 실행한다 (T1059: Command and Scripting Interpreter). [추정]
영향(Impact) – 공격자는 시스템 명령을 실행하여 파일 삭제, 서비스 중단, 데이터 유출 등 높은 수준의 기밀성·무결성·가용성 영향을 초래한다 (T1485: Data Destruction). [추정]

🛡️ AI 권고 대응 방안

• 공급업체에서 제공하는 최신 보안 패치를 적용한다.
• pickle과 같은 신뢰되지 않은 데이터 역직렬화 기능을 사용하지 않거나, 입력 데이터를 엄격히 검증한다.
• reward server에 인증 및 접근 제어를 적용하고, 외부에서 직접 접근할 수 없도록 방화벽 등 네트워크 차단을 설정한다.
• HTTP POST 요청에 대한 콘텐츠 타입 및 파라미터 검증을 강화한다.
• 보안 로그 및 IDS/IPS를 통해 비정상적인 POST 요청 및 역직렬화 시도 패턴을 모니터링한다.
• 관련 벤더 어드바이저리(예: https://github.com/VectorSpaceLab/OmniGen2/pull/139)를 참고한다.

📋 탐지 룰 현황

ℹ️ AI SKIP: 익스플로잇 근거 부족
공개 룰 저장소(SigmaHQ, ET Open, Yara-Rules)만 검색되었습니다.

Sigma Rule ❌ 미생성

사유: 공개 룰 미발견, AI 생성 실패

Snort/Suricata Rule ❌ 미생성

사유: 공개 룰 미발견, AI 생성 실패

Yara Rule ❌ 미생성

사유: 공개 룰 미발견, AI 생성 실패

🔗 참고 자료

• Fix unsafe pickle deserialization in reward server (CVE-2026-25873) VectorSpaceLab/OmniGen2#139
• https://arxiv.org/abs/2506.18871
• https://github.com/VectorSpaceLab/OmniGen2/blob/3a13017e532f9f309a38bca571fd62200a6415c5/OmniGen2-RL/reward_server/reward_server.py#L118
• https://github.com/VectorSpaceLab/OmniGen2/blob/3a13017e532f9f309a38bca571fd62200a6415c5/OmniGen2-RL/reward_server/reward_proxy.py#L208
• https://github.com/VectorSpaceLab/OmniGen2/blob/3a13017e532f9f309a38bca571fd62200a6415c5/OmniGen2-RL/reward_server/reward_proxy.py#L224
• https://www.vulncheck.com/advisories/omnigen2-rl-reward-server-unsafe-deserialization-rce