.gif)
내부 서버에 저장된 데이터를 열람할 수 있게 해 주는 SSRF 취약점이 MS 애저에서 발견됐다. 클라우드 환경에서 특히 위험한 취약점이라 MS는 금방 패치했다. 사용자들이 뭘 더 해야 할 건 없다. 다만 SSRF 취약점이라는 게 클라우드 환경을 위험하게 할 수 있다는 걸 기억하고 주의를 기울여야 한다.
[보안뉴스 문가용 기자] MS가 애저 클라우드 플랫폼 내 4개 서비스들에서 발견된 취약점들을 패치했다. 취약점들은 SSRF 공격을 가능하게 하는 것이었는데, 이는 인증 단계를 거치지 않고도 원격 코드 실행 공격이 가능할 수도 있다는 뜻이 된다. 보안 업체 오카(Orca)가 발견해 MS에 최초로 제보한 것으로 알려져 있다.
[이미지 = utoimage]
취약점이 발견된 애저 서비스는 다음 네 가지였다.
1) 애저 API 관리(Azure API Management)
2) 애저 펑션즈(Azure Functions)
3) 애저 머신러닝(Azure Machine Learning)
4) 애저 디지털트윈즈(Azure Digital Twins)
애저 계정에 로그인 하지 않고도 익스플로잇 할 수 있었던 건 평션즈와 디지털트윈즈의 취약점이었다.
SSRF 공격이란, 서버 사이드 애플리케이션을 공략하는 기법 중 하나로 외부에서 서버로 데이터를 전송하면서 서버 내부에 저장된 자원에 대한 읽기 및 업데이트 요청을 보내는 방식으로 진행된다. 이렇게 할 경우 네트워크 내에서 악성 행위를 할 수 있는 환경이 만들어지면서 여러 가지 공격을 할 수 있게 된다.
SSRF 공격은 클라우드 환경에서 특히 치명적으로 작용할 수 있다. “클라우드 호스트의 IMDS(인스턴스 메타데이터 서비스)에 접근하는 데 성공하기까지 한다면 호스트 이름, 보안 그룹, 맥주소, 사용자 데이터 등 상세 정보에까지 접근할 수 있게 됩니다.” 오카 시큐리티의 보안 전문가 리도 벤 쉬트릿(Lidor Ben Shitrit)의 설명이다. “이를 통해 토큰도 가져갈 수 있고 다른 호스트 환경으로 옮겨갈 수도 있으며 원격에서 코드도 실행할 수 있는 상태가 됩니다.”
빌트인 SSRF 대응 기술
다행히 오카의 보안 전문가들이 애저 환경에서 IMDS에까지 접근하는 데에는 실패했다. 이미 MS가 클라우드에 각종 SSRF 위험 완화 대책을 탑재했기 때문이다. “IMDS 엔드포인트에 접근하려면 세팅 값을 특수하게 바꿔야 하는데, 원격 공격으로 이것까지 해 내는 어렵습니다. MS는 클라우드 환경에서 SSRF 취약점이 얼마나 위험하게 작용할 수 있는지 이해하고 있으며, 그래서 SSRF 공격에 제한이 생깁니다.”
그런 MS라고 해도 모든 공격 가능성을 다 제거할 수는 없었다. 쉬트릿은 “이번 취약점을 통해 로컬 포트를 스캔해서 새로운 서비스, 엔드포인트, 파일을 찾아 낼 수 있다”며 “이런 활동이 가능하다는 건 피해자의 환경 내에서 여러 다른 취약점을 발견해 또 다른 종류의 공격을 실시할 수 있다는 뜻”이라고 설명한다. “원하는 정보가 어디에 있는지 파악하고, 그곳만 집중 공략 함으로써 공격을 효율적으로 이뤄가는 것도 가능합니다. 예상치 못한 정보를 찾아낼 수도 있고요.”
위의 네 가지 취약점이 한꺼번에 발견된 것은 아니다. 지난 해 10월부터 12월까지 약 두 달의 기간에 걸쳐 하나씩 발굴됐다. 오카 측은 취약점이 발견될 때마다 마이크로소프트에 제보했고, 마이크로소프트는 수일에서 수주 안에 패치를 개발하거나 최소 위험 완화 대책까지는 마련하는 부지런함을 선보였다. 아직까지 애저 고객들이 특별히 해야 할 일은 없다. 또한 오카나 MS 모두 취약점의 익스플로잇 공격이 실제로 발생한 사례를 발견하지 못했다고 한다.
SSRF 취약점의 분류
SSRF 취약점은 크게 세 가지로 분류된다.
1) 블라인드 SSRF(Blind SSRF) : 공격자가 서버를 조정해 요청을 만들 수는 있지만 해당 요청에 대한 응답을 끌어내지는 않는다. 그래서 공격이 성공했는지 실패했는지 잘 분간이 가질 않는다.
2) 세미블라인드 SSRF(Semi-blind SSRF) : 서버 요청을 만들어내는 취약점이라는 점에서는 블라인드 SSRF와 비슷하지만 서버로부터 응답을 끌어내며, 이를 통해 제한적이나마 정보를 수집할 수 있게 된다.
3) 넌블라인드 SSRF(Non-blind SSRF) / 풀 SSRF(Full SSRF) : 공격자가 서버를 조정해 요청을 만들어 응답을 빠짐없이 이끌어낼 수 있다. 이 때문에 공격자는 더 많은 정보를 수집할 수 있게 되며, 이를 통해 추가 공격을 이어갈 수 있게 된다. 이번에 애저에서 발견된 SSRF 취약점은 전부 넌블라인드 SSRF였다.
보호와 위험 완화
서버에 어떤 유형의 SSRF 취약점이 존재하든 모두 심각하게 생각하고 얼른 대처해야 한다는 점에는 아무런 차이가 없다. 어떤 유형이든 민감한 정보에 접근하게 해주거나 추가 공격의 발판이 되기 때문이다. 쉬트릿은 SSRF 취약점의 위험성을 낮추는 방법들이 존재한다며 몇 가지를 제안한다.
“첫 번째는 사용자가 입력하는 정보를 절대로 신뢰하면 안 된다는 걸 기억하고 철칙으로 삼는 겁니다. 누가 어떤 식으로 SSRF를 익스플로잇 하려고 하는 건지 예측할 수 없거든요. 취약한 서버가 내부적으로 보낸 요청들을 조작함으로써 내부 자원과 엔드포인트에 접근하여 추가 공격을 이어나가는 사건들이 종종 발생하는 것이 현실이기도 합니다.”
두 번째 방법은 서버에 접속할 URL들의 목록을 지정하는 것이라고 쉬트릿은 설명한다. 한 마디로 화이트리스팅을 하는 것이다. “이렇게 했을 때 악의를 가진 사용자가 SSRF 취약점을 시험적으로 건드리는 것조차 허용하지 않을 수 있습니다. URL 자체에 권한이 없을 것이니까요.”
3줄 요약
1. 마이크로소프트 애저 환경에서 네 가지 위험한 취약점이 발견됨.
2. 전부 SSRF 취약점으로, 내부의 민감한 정보가 외부로 노출될 수 있음.
3. 클라우드 환경에서 특히 위험한 게 SSRF라 MS는 빠르게 패치 완료.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] MS가 애저 클라우드 플랫폼 내 4개 서비스들에서 발견된 취약점들을 패치했다. 취약점들은 SSRF 공격을 가능하게 하는 것이었는데, 이는 인증 단계를 거치지 않고도 원격 코드 실행 공격이 가능할 수도 있다는 뜻이 된다. 보안 업체 오카(Orca)가 발견해 MS에 최초로 제보한 것으로 알려져 있다.
[이미지 = utoimage]
취약점이 발견된 애저 서비스는 다음 네 가지였다.
1) 애저 API 관리(Azure API Management)
2) 애저 펑션즈(Azure Functions)
3) 애저 머신러닝(Azure Machine Learning)
4) 애저 디지털트윈즈(Azure Digital Twins)
애저 계정에 로그인 하지 않고도 익스플로잇 할 수 있었던 건 평션즈와 디지털트윈즈의 취약점이었다.
SSRF 공격이란, 서버 사이드 애플리케이션을 공략하는 기법 중 하나로 외부에서 서버로 데이터를 전송하면서 서버 내부에 저장된 자원에 대한 읽기 및 업데이트 요청을 보내는 방식으로 진행된다. 이렇게 할 경우 네트워크 내에서 악성 행위를 할 수 있는 환경이 만들어지면서 여러 가지 공격을 할 수 있게 된다.
SSRF 공격은 클라우드 환경에서 특히 치명적으로 작용할 수 있다. “클라우드 호스트의 IMDS(인스턴스 메타데이터 서비스)에 접근하는 데 성공하기까지 한다면 호스트 이름, 보안 그룹, 맥주소, 사용자 데이터 등 상세 정보에까지 접근할 수 있게 됩니다.” 오카 시큐리티의 보안 전문가 리도 벤 쉬트릿(Lidor Ben Shitrit)의 설명이다. “이를 통해 토큰도 가져갈 수 있고 다른 호스트 환경으로 옮겨갈 수도 있으며 원격에서 코드도 실행할 수 있는 상태가 됩니다.”
빌트인 SSRF 대응 기술
다행히 오카의 보안 전문가들이 애저 환경에서 IMDS에까지 접근하는 데에는 실패했다. 이미 MS가 클라우드에 각종 SSRF 위험 완화 대책을 탑재했기 때문이다. “IMDS 엔드포인트에 접근하려면 세팅 값을 특수하게 바꿔야 하는데, 원격 공격으로 이것까지 해 내는 어렵습니다. MS는 클라우드 환경에서 SSRF 취약점이 얼마나 위험하게 작용할 수 있는지 이해하고 있으며, 그래서 SSRF 공격에 제한이 생깁니다.”
그런 MS라고 해도 모든 공격 가능성을 다 제거할 수는 없었다. 쉬트릿은 “이번 취약점을 통해 로컬 포트를 스캔해서 새로운 서비스, 엔드포인트, 파일을 찾아 낼 수 있다”며 “이런 활동이 가능하다는 건 피해자의 환경 내에서 여러 다른 취약점을 발견해 또 다른 종류의 공격을 실시할 수 있다는 뜻”이라고 설명한다. “원하는 정보가 어디에 있는지 파악하고, 그곳만 집중 공략 함으로써 공격을 효율적으로 이뤄가는 것도 가능합니다. 예상치 못한 정보를 찾아낼 수도 있고요.”
위의 네 가지 취약점이 한꺼번에 발견된 것은 아니다. 지난 해 10월부터 12월까지 약 두 달의 기간에 걸쳐 하나씩 발굴됐다. 오카 측은 취약점이 발견될 때마다 마이크로소프트에 제보했고, 마이크로소프트는 수일에서 수주 안에 패치를 개발하거나 최소 위험 완화 대책까지는 마련하는 부지런함을 선보였다. 아직까지 애저 고객들이 특별히 해야 할 일은 없다. 또한 오카나 MS 모두 취약점의 익스플로잇 공격이 실제로 발생한 사례를 발견하지 못했다고 한다.
SSRF 취약점의 분류
SSRF 취약점은 크게 세 가지로 분류된다.
1) 블라인드 SSRF(Blind SSRF) : 공격자가 서버를 조정해 요청을 만들 수는 있지만 해당 요청에 대한 응답을 끌어내지는 않는다. 그래서 공격이 성공했는지 실패했는지 잘 분간이 가질 않는다.
2) 세미블라인드 SSRF(Semi-blind SSRF) : 서버 요청을 만들어내는 취약점이라는 점에서는 블라인드 SSRF와 비슷하지만 서버로부터 응답을 끌어내며, 이를 통해 제한적이나마 정보를 수집할 수 있게 된다.
3) 넌블라인드 SSRF(Non-blind SSRF) / 풀 SSRF(Full SSRF) : 공격자가 서버를 조정해 요청을 만들어 응답을 빠짐없이 이끌어낼 수 있다. 이 때문에 공격자는 더 많은 정보를 수집할 수 있게 되며, 이를 통해 추가 공격을 이어갈 수 있게 된다. 이번에 애저에서 발견된 SSRF 취약점은 전부 넌블라인드 SSRF였다.
보호와 위험 완화
서버에 어떤 유형의 SSRF 취약점이 존재하든 모두 심각하게 생각하고 얼른 대처해야 한다는 점에는 아무런 차이가 없다. 어떤 유형이든 민감한 정보에 접근하게 해주거나 추가 공격의 발판이 되기 때문이다. 쉬트릿은 SSRF 취약점의 위험성을 낮추는 방법들이 존재한다며 몇 가지를 제안한다.
“첫 번째는 사용자가 입력하는 정보를 절대로 신뢰하면 안 된다는 걸 기억하고 철칙으로 삼는 겁니다. 누가 어떤 식으로 SSRF를 익스플로잇 하려고 하는 건지 예측할 수 없거든요. 취약한 서버가 내부적으로 보낸 요청들을 조작함으로써 내부 자원과 엔드포인트에 접근하여 추가 공격을 이어나가는 사건들이 종종 발생하는 것이 현실이기도 합니다.”
두 번째 방법은 서버에 접속할 URL들의 목록을 지정하는 것이라고 쉬트릿은 설명한다. 한 마디로 화이트리스팅을 하는 것이다. “이렇게 했을 때 악의를 가진 사용자가 SSRF 취약점을 시험적으로 건드리는 것조차 허용하지 않을 수 있습니다. URL 자체에 권한이 없을 것이니까요.”
3줄 요약
1. 마이크로소프트 애저 환경에서 네 가지 위험한 취약점이 발견됨.
2. 전부 SSRF 취약점으로, 내부의 민감한 정보가 외부로 노출될 수 있음.
3. 클라우드 환경에서 특히 위험한 게 SSRF라 MS는 빠르게 패치 완료.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
