.jpg)
너무나 중대한 문제가, 너무나 사소한 부분에서 터졌다. 클라우드라는 신형 플랫폼도 작디작은 구성품 하나 때문에 위기에 처할 수 있다는 사실이 다시 한 번 상기되었다.
[보안뉴스 문정후 기자] 클라우드 생태계에서 로깅을 담당하는 유명 유틸리티에서 치명적인 취약점이 하나 발견됐다. 이 때문에 현존하는 주요 클라우드 서비스들이 전부 위험한 상황이라고 한다. 문제의 유틸리티는 플루언트비트(Fluent Bit)라고 하며, 오픈소스 형태로 배포되고 있다. 사용자가 매우 많아 이 취약점의 파급력은 매우 높을 것으로 예상된다.
[이미지 = gettyimagesbank]
플루언트비트는 로그들을 모으고, 처리하고, 전달하는 기능을 수행한다. 물론 로그 외에 다른 유형의 데이터들도 비슷한 방식으로 다룬다. 이런 종류의 유틸리티로서는 가장 인기가 높다고 할 수 있다. 2022년 기준 30억 회 이상 다운로드 됐으며, 지금도 매일 1천만 이상 설치되고 있으니 말이다. VM웨어, 시스코, 어도비, 월마트, 링크드인 등 대형 기업들에서도 적극 사용되고 있으며, AWS, 마이크로소프트, 구글 등 손꼽히는 클라우드 업체들도 플루언트비트의 사용자다.
이런 플루언트비트에서 최근 발견된 취약점은 ‘링귀스틱럼버잭(Linguistic Lumberjack)’으로, 보안 업체 테너블(Tenable)이 처음 발견해 세상에 알렸다. 임베드 된 HTTP 서버가 일부 요청을 처리할 때 발동되는 취약점으로, 어떻게 익스플로잇 하느냐에 따라 디도스 공격이나 데이터 유출, 원격 코드 실행 공격 등으로 이어진다. 이런 공격 모두 클라우드 환경에서 이뤄지는 것이라고 한다.
테너블의 수석 엔지니어인 지미 세브리(Jimi Sebree)는 “애저, AWS, GCP에서 취약점이 발견됐다고 하면 모두가 큰일이 벌어진 것처럼 여긴다”며 “모든 문제가 새로운 기술에서부터 비롯되고, 그러므로 탐지도 익스플로잇도 복구도 어려울 것처럼 생각한다”고 말한다. “하지만 그 거대한 하이테크 클라우드라는 것도 작고 사소한 구성 요소들로 이뤄져 있지요. 그리고 그것에서부터 어마어마한 문제가 시작됩니다. 클라우드라는 신기술도 보안 구멍이라는 측면에서는 다른 소프트웨어나 플랫폼들과 다를 바가 없다는 겁니다.”
링귀스틱럼버잭의 효과
사실 테너블은 링귀스틱럼버잭 취약점과 전혀 관계가 없는 문제를 조사하고 있었다. 그러다가 특정 클라우드 서비스에서 이상한 점을 발견했고, 그러면서 조사 영역을 확대했다가 중요 오픈소스에 문제가 있다는 것을 알아챈 것이라고 한다. “클라우드 테넌트를 가로지르는 데이터 유출 현상이 발견됐습니다. 그 뿌리에는 플루언트비트가 있었고요. 그래서 여러 가지 실험을 진행했고, 클라우드 전반에 영향을 줄 수 있을 만한 문제의 근원을 알아낼 수 있었습니다.”
조사 과정 중 한 엔드포인트(/api/v1/traces)에서 일정 유형의 입력 데이터가 적절하게 확인되지 않은 채 다른 프로그램으로 넘어가는 것을 발견한 게 결정적이었다. “이를 활용해 문자열이 아닌 값을 입력할 때 메모리에서 여러 가지 문제를 일으킬 수 있다는 걸 저희도 알아낼 수 있었습니다. 그 외에도 양수와 음수 값을 넣어보기도 하면서 ‘공격을 성공시키는 경우의 수들’을 알아낼 수 있었고요.”
그러한 실험의 과정 중에 원격 코드 실행 공격마저 가능하다는 사실도 밝혀졌다. 다만 원격 코드 실행 공격을 목적으로 익스플로잇을 개발하는 건 꽤나 많은 노력과 시간이 들어가는 것으로 결론이 내려졌다. “뿐만 아니라 공격 표적의 네트워크 환경이나 OS, 심지어 아키텍처까지 상세하게 알고 있어야만 공격 성공 가능성을 높일 수 있습니다.”
어떻게 방어하나
문제의 취약점은 플루언트비트 2.0.7~3.0.3 버전에까지 존재한다. 공식 관리 번호는 CVE-2024-4323이며, CVSS 기준 10점 만점에 9.5점을 받았을 정도로 심각하다. 플루언트비트의 메인테이너들은 업데이트 버전을 내놓은 상황이며, 5월 15일 깃허브를 통해 공개됐다.
플루언트비트를 사용하는 조직이라면 반드시 업데이트를 적용해야 안전하다고 테너블은 강조한다. “그것도 빠르게 하는 편이 좋습니다. 원격 코드 실행 공격은 까다롭지만 다른 유형의 공격을 시도하려면 쉽게 할 수 있거든요. 또한 플루언트비트와 관련된 트래픽을 모니터링 하는 것도 당분간 잊지 말아야 합니다. 승인을 받은 사용자만 플루언트비트와 관련된 작업을 할 수 있도록 설정하는 것도 중요합니다. 패치 때까지 아예 사용하지 않도록 비활성화시키는 게 가장 안전합니다.”
3줄 요약
1. 대다수 클라우드에서 사용되는 오픈소스 요소에서 취약점 발견됨.
2. 이를 익스플로잇 하면 클라우드 환경에서 디도스, 정보 탈취, 원격 코드 실행 공격을 할 수 있음.
3. 다행히 업데이트가 나왔으니 최대한 빨리 적용하는 것이 중요.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 클라우드 생태계에서 로깅을 담당하는 유명 유틸리티에서 치명적인 취약점이 하나 발견됐다. 이 때문에 현존하는 주요 클라우드 서비스들이 전부 위험한 상황이라고 한다. 문제의 유틸리티는 플루언트비트(Fluent Bit)라고 하며, 오픈소스 형태로 배포되고 있다. 사용자가 매우 많아 이 취약점의 파급력은 매우 높을 것으로 예상된다.
[이미지 = gettyimagesbank]
플루언트비트는 로그들을 모으고, 처리하고, 전달하는 기능을 수행한다. 물론 로그 외에 다른 유형의 데이터들도 비슷한 방식으로 다룬다. 이런 종류의 유틸리티로서는 가장 인기가 높다고 할 수 있다. 2022년 기준 30억 회 이상 다운로드 됐으며, 지금도 매일 1천만 이상 설치되고 있으니 말이다. VM웨어, 시스코, 어도비, 월마트, 링크드인 등 대형 기업들에서도 적극 사용되고 있으며, AWS, 마이크로소프트, 구글 등 손꼽히는 클라우드 업체들도 플루언트비트의 사용자다.
이런 플루언트비트에서 최근 발견된 취약점은 ‘링귀스틱럼버잭(Linguistic Lumberjack)’으로, 보안 업체 테너블(Tenable)이 처음 발견해 세상에 알렸다. 임베드 된 HTTP 서버가 일부 요청을 처리할 때 발동되는 취약점으로, 어떻게 익스플로잇 하느냐에 따라 디도스 공격이나 데이터 유출, 원격 코드 실행 공격 등으로 이어진다. 이런 공격 모두 클라우드 환경에서 이뤄지는 것이라고 한다.
테너블의 수석 엔지니어인 지미 세브리(Jimi Sebree)는 “애저, AWS, GCP에서 취약점이 발견됐다고 하면 모두가 큰일이 벌어진 것처럼 여긴다”며 “모든 문제가 새로운 기술에서부터 비롯되고, 그러므로 탐지도 익스플로잇도 복구도 어려울 것처럼 생각한다”고 말한다. “하지만 그 거대한 하이테크 클라우드라는 것도 작고 사소한 구성 요소들로 이뤄져 있지요. 그리고 그것에서부터 어마어마한 문제가 시작됩니다. 클라우드라는 신기술도 보안 구멍이라는 측면에서는 다른 소프트웨어나 플랫폼들과 다를 바가 없다는 겁니다.”
링귀스틱럼버잭의 효과
사실 테너블은 링귀스틱럼버잭 취약점과 전혀 관계가 없는 문제를 조사하고 있었다. 그러다가 특정 클라우드 서비스에서 이상한 점을 발견했고, 그러면서 조사 영역을 확대했다가 중요 오픈소스에 문제가 있다는 것을 알아챈 것이라고 한다. “클라우드 테넌트를 가로지르는 데이터 유출 현상이 발견됐습니다. 그 뿌리에는 플루언트비트가 있었고요. 그래서 여러 가지 실험을 진행했고, 클라우드 전반에 영향을 줄 수 있을 만한 문제의 근원을 알아낼 수 있었습니다.”
조사 과정 중 한 엔드포인트(/api/v1/traces)에서 일정 유형의 입력 데이터가 적절하게 확인되지 않은 채 다른 프로그램으로 넘어가는 것을 발견한 게 결정적이었다. “이를 활용해 문자열이 아닌 값을 입력할 때 메모리에서 여러 가지 문제를 일으킬 수 있다는 걸 저희도 알아낼 수 있었습니다. 그 외에도 양수와 음수 값을 넣어보기도 하면서 ‘공격을 성공시키는 경우의 수들’을 알아낼 수 있었고요.”
그러한 실험의 과정 중에 원격 코드 실행 공격마저 가능하다는 사실도 밝혀졌다. 다만 원격 코드 실행 공격을 목적으로 익스플로잇을 개발하는 건 꽤나 많은 노력과 시간이 들어가는 것으로 결론이 내려졌다. “뿐만 아니라 공격 표적의 네트워크 환경이나 OS, 심지어 아키텍처까지 상세하게 알고 있어야만 공격 성공 가능성을 높일 수 있습니다.”
어떻게 방어하나
문제의 취약점은 플루언트비트 2.0.7~3.0.3 버전에까지 존재한다. 공식 관리 번호는 CVE-2024-4323이며, CVSS 기준 10점 만점에 9.5점을 받았을 정도로 심각하다. 플루언트비트의 메인테이너들은 업데이트 버전을 내놓은 상황이며, 5월 15일 깃허브를 통해 공개됐다.
플루언트비트를 사용하는 조직이라면 반드시 업데이트를 적용해야 안전하다고 테너블은 강조한다. “그것도 빠르게 하는 편이 좋습니다. 원격 코드 실행 공격은 까다롭지만 다른 유형의 공격을 시도하려면 쉽게 할 수 있거든요. 또한 플루언트비트와 관련된 트래픽을 모니터링 하는 것도 당분간 잊지 말아야 합니다. 승인을 받은 사용자만 플루언트비트와 관련된 작업을 할 수 있도록 설정하는 것도 중요합니다. 패치 때까지 아예 사용하지 않도록 비활성화시키는 게 가장 안전합니다.”
3줄 요약
1. 대다수 클라우드에서 사용되는 오픈소스 요소에서 취약점 발견됨.
2. 이를 익스플로잇 하면 클라우드 환경에서 디도스, 정보 탈취, 원격 코드 실행 공격을 할 수 있음.
3. 다행히 업데이트가 나왔으니 최대한 빨리 적용하는 것이 중요.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
