Home > 전체기사
웹 애플리케이션의 SSRF 취약점, 공공 클라우드 위협
  |  입력 : 2019-11-28 10:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹 애플리케이션들에서 발견되는 SSRF, 클라우드 메타데이터 노출시켜
6개 클라우드 서비스에서 메타데이터 유출 정황 발견돼...MS 애저만 예외


[보안뉴스 문가용 기자] 수천~수만 개의 지라(Jira) 인스턴스들이 서버 사이드 요청 조작(Server-side Request Forgery, SSRF) 취약점에 노출되어 있다는 소식이다. 공공 클라우드를 기반으로 작동하는 각종 애플리케이션들에 적잖은 영향이 있다고 한다.

[이미지 = iclickart]


SSRF 취약점은 클라우드 서비스와 밀접한 관련이 있다. 메타데이터 API 때문이다. 메타데이터 API가 있어 공공 클라우드를 통해 제공되는 애플리케이션들이 환경설정, 로그, 크리덴셜 등의 정보에 접근할 수 있게 된다. 물론 메타데이터 API는 로컬에서만 접근이 가능한데, SSRF 취약점을 익스플로잇 할 경우 인터넷을 통해서도 접근이 가능하게 된다. 또한 한 번 익스플로잇에 성공하면 횡적 움직임과 네트워크 정찰도 가능하다고 한다.

SSRF 취약점이 발생하게 되는 건 웹 애플리케이션의 구조 때문이다. 애플리케이션을 통해 요청이 들어오면, 이를 처리하기 위해 다른 도메인에 마련된 자원에 접근해야 하는데, 이 때 입력되는 URL이 제대로 검사되지 않을 때 SSRF 공격이 가능하게 된다. 이 점을 활용할 경우 공격자는 도착지가 되는 URL을 조작할 수 있다.

공격자들이 SSRF 취약점을 좋아하는 이유는, 방화벽 너머에까지 도달할 수 있기 때문이다. 따라서 어떤 환경에서 SSRF 공격을 하느냐에 따라 그 결과가 천차만별로 달라진다. 방화벽 뒤편을 어떤 식으로 구성해놓느냐에 따라 대단히 심각한 사태가 발생할 수도 있다. 올 여름 캐피탈 원(Capital One)의 대형 정보 유출 사고를 일으켰던 취약점과 상당히 흡사하다.

보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 보안 전문가들은 이런 SSRF 취약점이 공공 클라우드 환경에 미치는 영향을 명확히 알고자, 지라(Jira)의 SSRF 취약점인 CVE-2019-8451을 여섯 개의 공공 클라우드 환경에서 실험했다. 이 취약점은 인증 과정을 통과하지 않아도 익스플로잇이 가능한 것으로 지난 8월에 최초로 공개됐다. 2017년 11월에 배포된 지라 7.6 버전에서 발견되었고, 2011년 3월에 발표된 4.3 버전에까지 영향을 미치고 있음이 확인됐다.

이번 연구를 이끌었던 위협 첩보 부문 부회장인 젠 밀러오스본(Jen Miller-Osborn)은 “CVE-2019-8451이 너무나 오랜 기간 방치되었던 취약점이라는 점에서 상당히 위험한 취약점”이라고 지적했다. “사실상 2011년부터 한 번도 발견되지 않은 채 지라 속에 도사리고 있던 것입니다.” 이 취약점에 대한 패치는 8월에 발표됐다. 하지만 아직 업데이트가 다 적용된 건 아니다.

“지라는 업무용으로 활용되는 생산성 소프트웨어입니다. 그렇다는 건, 패치를 위해 잠시 운영을 중단할 때 곧바로 생산량에 영향을 준다는 뜻입니다. 그래서 사용자들이 잘 패치를 하지 않죠. 하더라도 매우 늦는 게 보통이고요. 생산을 멈추느니 위험을 감수하겠다는 게 일반적인 기업들의 생각입니다.”

팔로알토의 연구원들은 이러한 취약점 정보를 손에 들고 쇼단(Shodan)에서 스캔을 시작했다. 인터넷에 노출되어 있는 지라 인스턴스가 2만 5천여 개 나타났다. 가장 지라가 많은 클라우드 제공 업체 6개를 골라냈다. 어떤 공공 클라우드 서비스가 CVE-2019-8451에 가장 많이 노출되어 있는지 보려고 한 것이다.

“그 결과 7002개의 지라 인스턴스들이 여섯 개 클라우드 서비스를 통해 인터넷에 노출되어 있었습니다. 이 중 45%인 3152개는 패치와 업데이트가 되지 않아서 취약한 상태였습니다. 이 취약한 인스턴스 중 56%인 1779개는 클라우드 인프라의 메타데이터(소스코드, 크리덴셜, 환경설정 등)를 노출시키고 있었습니다. 가장 많은 데이터를 노출시키고 있던 클라우드 서비스는 디지털오션(DigitalOcean)이었고(93%), 그 뒤로 구글(80%), 알리바바(71%), AWS(68%), 헤츠너(21%)가 이름을 올렸습니다.”

공공 클라우드 서비스 중 메타데이터 유출이 단 한 건도 나타나지 않은 건 MS 애저가 유일했다. “애저의 경우 메타데이터 API의 헤더 관련 규칙이 매우 까다롭습니다. 이 때문에 SSRF 요청이 전부 차단됩니다.”

이 문제를 해결하려면 먼저 개발자들이 사용자들의 입력값을 제대로 확인하는 절차를 애플리케이션 로직 안에 포함시켜야 한다. 안타깝지만 앱을 확인, 설치, 삭제만 하는 네트워크 및 보안 관리자 입장에서는 할 수 있는 일이 거의 없다. “그래도 애플리케이션이 접속할 수 있는 도메인을 화이트리스트로 지정해 두면 어느 정도 위험이 완화될 수 있습니다. 그 외에 메타데이터 API의 IP를 차단하는 규칙을 가상기계 안에 설정해놓는 것도 나쁘지 않은 방법입니다.”

3줄 요약
1. 유명 웹 애플리케이션의 인스턴스 통해 공공 클라우드 데이터 새나가고 있음.
2. 여기서 문제가 되는 취약점은 SSRF.
3. 개발자들이 웹 앱 만들 때 사용자 입력값 검사 되도록 해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)