청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 5
2019.12.02 (08:44:38)
웹 애플리케이션들에서 발견되는 SSRF, 클라우드 메타데이터 노출시켜
6개 클라우드 서비스에서 메타데이터 유출 정황 발견돼...MS 애저만 예외


수천~수만 개의 지라(Jira) 인스턴스들이 서버 사이드 요청 조작(Server-side Request Forgery, SSRF) 취약점에 노출되어 있다는 소식이다. 공공 클라우드를 기반으로 작동하는 각종 애플리케이션들에 적잖은 영향이 있다고 한다.

[이미지 = iclickart]


SSRF 취약점은 클라우드 서비스와 밀접한 관련이 있다. 메타데이터 API 때문이다. 메타데이터 API가 있어 공공 클라우드를 통해 제공되는 애플리케이션들이 환경설정, 로그, 크리덴셜 등의 정보에 접근할 수 있게 된다. 물론 메타데이터 API는 로컬에서만 접근이 가능한데, SSRF 취약점을 익스플로잇 할 경우 인터넷을 통해서도 접근이 가능하게 된다. 또한 한 번 익스플로잇에 성공하면 횡적 움직임과 네트워크 정찰도 가능하다고 한다.

SSRF 취약점이 발생하게 되는 건 웹 애플리케이션의 구조 때문이다. 애플리케이션을 통해 요청이 들어오면, 이를 처리하기 위해 다른 도메인에 마련된 자원에 접근해야 하는데, 이 때 입력되는 URL이 제대로 검사되지 않을 때 SSRF 공격이 가능하게 된다. 이 점을 활용할 경우 공격자는 도착지가 되는 URL을 조작할 수 있다.

공 격자들이 SSRF 취약점을 좋아하는 이유는, 방화벽 너머에까지 도달할 수 있기 때문이다. 따라서 어떤 환경에서 SSRF 공격을 하느냐에 따라 그 결과가 천차만별로 달라진다. 방화벽 뒤편을 어떤 식으로 구성해놓느냐에 따라 대단히 심각한 사태가 발생할 수도 있다. 올 여름 캐피탈 원(Capital One)의 대형 정보 유출 사고를 일으켰던 취약점과 상당히 흡사하다.

보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 보안 전문가들은 이런 SSRF 취약점이 공공 클라우드 환경에 미치는 영향을 명확히 알고자, 지라(Jira)의 SSRF 취약점인 CVE-2019-8451을 여섯 개의 공공 클라우드 환경에서 실험했다. 이 취약점은 인증 과정을 통과하지 않아도 익스플로잇이 가능한 것으로 지난 8월에 최초로 공개됐다. 2017년 11월에 배포된 지라 7.6 버전에서 발견되었고, 2011년 3월에 발표된 4.3 버전에까지 영향을 미치고 있음이 확인됐다.

이번 연구를 이끌었던 위협 첩보 부문 부회장인 젠 밀러오스본(Jen Miller-Osborn)은 “CVE-2019-8451이 너무나 오랜 기간 방치되었던 취약점이라는 점에서 상당히 위험한 취약점”이라고 지적했다. “사실상 2011년부터 한 번도 발견되지 않은 채 지라 속에 도사리고 있던 것입니다.” 이 취약점에 대한 패치는 8월에 발표됐다. 하지만 아직 업데이트가 다 적용된 건 아니다.

“지 라는 업무용으로 활용되는 생산성 소프트웨어입니다. 그렇다는 건, 패치를 위해 잠시 운영을 중단할 때 곧바로 생산량에 영향을 준다는 뜻입니다. 그래서 사용자들이 잘 패치를 하지 않죠. 하더라도 매우 늦는 게 보통이고요. 생산을 멈추느니 위험을 감수하겠다는 게 일반적인 기업들의 생각입니다.”

팔로알토의 연구원들은 이러한 취약점 정보를 손에 들고 쇼단(Shodan)에서 스캔을 시작했다. 인터넷에 노출되어 있는 지라 인스턴스가 2만 5천여 개 나타났다. 가장 지라가 많은 클라우드 제공 업체 6개를 골라냈다. 어떤 공공 클라우드 서비스가 CVE-2019-8451에 가장 많이 노출되어 있는지 보려고 한 것이다.

“그 결과 7002개의 지라 인스턴스들이 여섯 개 클라우드 서비스를 통해 인터넷에 노출되어 있었습니다. 이 중 45%인 3152개는 패치와 업데이트가 되지 않아서 취약한 상태였습니다. 이 취약한 인스턴스 중 56%인 1779개는 클라우드 인프라의 메타데이터(소스코드, 크리덴셜, 환경설정 등)를 노출시키고 있었습니다. 가장 많은 데이터를 노출시키고 있던 클라우드 서비스는 디지털오션(DigitalOcean)이었고(93%), 그 뒤로 구글(80%), 알리바바(71%), AWS(68%), 헤츠너(21%)가 이름을 올렸습니다.”

공공 클라우드 서비스 중 메타데이터 유출이 단 한 건도 나타나지 않은 건 MS 애저가 유일했다. “애저의 경우 메타데이터 API의 헤더 관련 규칙이 매우 까다롭습니다. 이 때문에 SSRF 요청이 전부 차단됩니다.”

이 문제를 해결하려면 먼저 개발자들이 사용자들의 입력값을 제대로 확인하는 절차를 애플리케이션 로직 안에 포함시켜야 한다. 안타깝지만 앱을 확인, 설치, 삭제만 하는 네트워크 및 보안 관리자 입장에서는 할 수 있는 일이 거의 없다. “그래도 애플리케이션이 접속할 수 있는 도메인을 화이트리스트로 지정해 두면 어느 정도 위험이 완화될 수 있습니다. 그 외에 메타데이터 API의 IP를 차단하는 규칙을 가상기계 안에 설정해놓는 것도 나쁘지 않은 방법입니다.”
번호 제목 닉네임 조회 등록일
8305 러시아의 유명 APT 단체 가마레돈, 우크라이나 노리며 공격 재개 새 글
[레벨:30]관리자
  2019-12-10
8304 금융정보 탈취 ‘이모텟’ 악성코드, 피싱 메일 유포 ‘급증’
[레벨:30]관리자
  2019-12-09
8303 검찰·경찰·은행 사칭 주의, 전체 보이스피싱 피해 95% 차지
[레벨:30]관리자
2 2019-12-06
8302 ‘알약M’ 스마트폰 악성코드 탐지 통계 살펴봤더니... 악성코드 탐지수 400%↑
[레벨:30]관리자
2 2019-12-06
8301 연말연시 특수 노리나? 공격자들, 환대산업에 집중
[레벨:30]관리자
  2019-12-05
8300 북한 추정 해커조직 김수키, 청와대 행사 사칭해 사이버공격 시도
[레벨:30]관리자
1 2019-12-05
8299 스탄틴코 봇넷, 암호화폐 채굴 모듈을 50만대 좀비 PC에 배포해
[레벨:30]관리자
  2019-12-04
8298 홍콩 반정부 시위자 대상으로 대규모 스피어 피싱 공격 있었다
[레벨:30]관리자
  2019-12-04
8297 악성코드 유포해 74억 건 개인정보 불법수집 후 판매한 해킹사범 3명 구속기소
[레벨:30]관리자
1 2019-12-03
8296 ‘강주경 입사지원서’ 정체? 비너스락커 조직의 랜섬웨어 최신 버전
[레벨:30]관리자
1 2019-12-03
Selected 웹 애플리케이션의 SSRF 취약점, 공공 클라우드 위협
[레벨:30]관리자
5 2019-12-02
8294 업비트 580억 이더리움 탈취 미스터리, 암호화폐 거래소의 드러난 문제들
[레벨:30]관리자
2 2019-12-02
8293 오픈SSH와 오픈VPN 키 탈취하는 신종 '트릭봇' 악성코드 발견돼
[레벨:30]관리자
2 2019-11-29
8292 구매주문, 명세서 등으로 위장. 대량 유포되고 있는 피싱 메일…주의
[레벨:30]관리자
2 2019-11-29
8291 580억 탈취 당한 암호화폐 거래소 업비트, 직원 사칭 해킹 메일이 사전작업?
[레벨:30]관리자
5 2019-11-28
8290 이전에 없던 새로운 설치 기술 사용 맬웨어 ‘DePriMon’와 ‘Mispadu’ 뱅킹트로이목마 발견
[레벨:30]관리자
4 2019-11-27
8289 해킹 그룹이 노출된 API 엔드 포인트를 이용해 도커 시스템 하이재킹
[레벨:30]관리자
  2019-11-27
8288 클롭 랜섬웨어, 암호화 위해 윈도우 디펜더 및 백신 작동 정지시켜
[레벨:30]관리자
2 2019-11-26
8287 기업 이메일 침해 공격, 낱낱이 분석했더니 주초 9시가 가장 위험
[레벨:30]관리자
4 2019-11-25
8286 국가지원 해커조직, 한글 악성파일 변종 계속 유포중
[레벨:30]관리자
2 2019-11-25
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X