컨테이너와 마이크로서비스에 특화된 MS 애저 서비스에서 취약점이 발견됐다. 작년 10월과 12월에 연이어 비슷한 취약점이 두 개나 나온 것인데, 이번 달에는 패치가 전부 완료됐다. 사용자들이 해야 할 건 클라우드에도 구멍이 있다는 사실을 기억하는 것이다.
[보안뉴스 문가용 기자] MS가 애저 서비스 패브릭(Azure Service Fabric)에서 발견된 위험한 오류를 패치했다. 이 오류를 익스플로잇 하는 데 성공할 경우, 공격자는 인증 과정을 통과하지 않은 채 애저에 호스팅 된 컨테이너에서 임의의 코드를 실행할 수 있게 된다고 한다.
보안 업체 오카시큐리티(Orca Security)가 처음 발견한 이 취약점은 일종의 XSS 오류인 것으로 분석됐으며, 오카 측은 여기에 파브릭스(FabriXss)라는 이름을 붙였다. MS에 제보한 것은 12월의 일이고, MS는 이번 3월 정기 패치를 통해 문제를 해결했다. 그리고 3월 30일(현지 시간) 취약점에 대한 세부 내용을 공개했다.
파브릭스 취약점의 관리 번호는 CVE-2023-23383이며, CVSS 기준 8.2 점을 받았다. 애저 서비스 패브릭 익스플로러(Azure Service Fabric Explorer)에서 발견됐다. 애저 서비스(Azure Service)는 애저 클라우드 플랫폼의 일부 요소로 마이크로서비스와 컨테이너를 패키징, 구축, 관리하는 데 주로 사용된다. 특히 규모가 큰 분산 시스템에서 사용하기 적절한 것으로 알려져 있다.
오카시큐리티의 클라우드 보안 전문가 리도 벤 쉬트릿(Lidor Ben Shitrit)은 CVE-2023-23383이 두 가지 취약점을 포함하고 있다고 말한다. 이는 다음과 같다.
1) 파브릭스 : 10월에 오카가 공개. 그리 위험한 취약점이 아님. MS가 빠르게 패치함. 익스플로잇에 성공할 경우 공격자가 서비스 패브릭 클러스트에서 관리자 권한을 가져갈 수 있음.
2) 슈퍼파브릭스(Super FabriXss) : 오늘 공개. 위험한 취약점. MS가 이번 달에 패치함. 잇스플로잇에 성공할 경우 공격자가 서비스 패브릭 노드에 호스팅 된 컨테이너에서 원격 코드 실행 공격을 실시할 수 있음. 클러스터 노드들에서 악성 컨테이너를 생성하고 구축할 수도 있음.
“이 취약점의 익스플로잇이 성공하려면 피해자가 악성 URL을 한 번 클릭을 하긴 해야 합니다. 그리고 이벤트(Events) 탭에 있는 클러스터 타입(Cluster Type)도 클릭해야 합니다. 여기까지 성공하게 되면 민감한 클러스터 데이터가 공격자에게 드러납니다. 거기서부터는 공격의 범위가 크게 확대될 수 있습니다.” 쉬트릿의 설명이다.
취약점이 발동되는 이유는 노드네임(Node Name)이라는 매개변수가 취약하기 때문이다. 노드네임의 취약점을 익스플로잇 하면 피해자의 컨텍스트에서 아이프레임을 삽입할 수 있게 된다고 쉬트릿은 자사 블로그에 설명하고 있다. “그리고 이 아이프레임을 통해 공격자가 제어하고 있는 원격 서버에서 파일들을 가져올 수 있게 됩니다. 그러면서 악성 파워셸 리버스셸을 실행할 수 있게 됩니다.”
애저 사용자들을 위한 방어법
오카시큐리티가 MS에 이 취약점에 대해 알린 건 12월 20일이다. MS는 31일부터 해당 내용에 대한 상세 조사를 시작했다. MS와 오카 측은 CVE-2023-23383이라는 관리 번호를 부여하기 전에 여러 번 대화를 진행했으며, 3월 14일 패치가 발표되고 자동으로 적용되기 전까지도 협업 체계를 이뤄갔다고 한다.
애저 서비스 패브릭 사용자들이 이 취약점과 패치에 대하여 따로 할 일은 없다. “하지만 오늘 날 기업들이 사용하는 클라우드 기반 아키텍처에서도 충분히 취약점이 나올 수 있다는 것과, 그 취약점을 패치하지 않고 사용했을 때 클라우드 사용자라는 이유만으로 위험해질 수 있다는 점을 입증하는 사례가 될 수 있습니다. 클라우드의 취약점은 온프레미스에서 발견된 취약점과는 차원이 다른 위험성을 내포하고 있습니다.”
그래서 쉬트릿은 클라우드 사용자라면 더더욱 기본 보안 위생 습관을 잘 지켜야 한다고 강조한다. “패치를 주기적으로 적용하고, 보안 상황을 모니터링하고, 취약점 소식을 빠르게 접해서 대책을 마련해야 합니다. 또한 클라우드를 안전하게 사용하는 방법을 꾸준하게 교육시키고, 망도 분리해서 사용하며 최소한의 권한의 법칙을 유지하는 것도 중요합니다. 클라우드 서비스 업체에 보안의 모든 것을 다 맡기는 것이 가장 위험합니다.”
3줄 요약
1. MS, 애저 환경에서 발견된 고위험군 취약점 패치.
2. 클라우드 환경에 내재된 취약점으로 익스플로잇 하면 사용자의 컨테이너와 클러스터 통해 여러 악성 행위 가능.
3. 클라우드 아키텍처에도 취약점이 다분히 있을 수 있으니 안전한 클라우드 사용 습관이 중요.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] MS가 애저 서비스 패브릭(Azure Service Fabric)에서 발견된 위험한 오류를 패치했다. 이 오류를 익스플로잇 하는 데 성공할 경우, 공격자는 인증 과정을 통과하지 않은 채 애저에 호스팅 된 컨테이너에서 임의의 코드를 실행할 수 있게 된다고 한다.
[이미지 = utoimage]
보안 업체 오카시큐리티(Orca Security)가 처음 발견한 이 취약점은 일종의 XSS 오류인 것으로 분석됐으며, 오카 측은 여기에 파브릭스(FabriXss)라는 이름을 붙였다. MS에 제보한 것은 12월의 일이고, MS는 이번 3월 정기 패치를 통해 문제를 해결했다. 그리고 3월 30일(현지 시간) 취약점에 대한 세부 내용을 공개했다.
파브릭스 취약점의 관리 번호는 CVE-2023-23383이며, CVSS 기준 8.2 점을 받았다. 애저 서비스 패브릭 익스플로러(Azure Service Fabric Explorer)에서 발견됐다. 애저 서비스(Azure Service)는 애저 클라우드 플랫폼의 일부 요소로 마이크로서비스와 컨테이너를 패키징, 구축, 관리하는 데 주로 사용된다. 특히 규모가 큰 분산 시스템에서 사용하기 적절한 것으로 알려져 있다.
오카시큐리티의 클라우드 보안 전문가 리도 벤 쉬트릿(Lidor Ben Shitrit)은 CVE-2023-23383이 두 가지 취약점을 포함하고 있다고 말한다. 이는 다음과 같다.
1) 파브릭스 : 10월에 오카가 공개. 그리 위험한 취약점이 아님. MS가 빠르게 패치함. 익스플로잇에 성공할 경우 공격자가 서비스 패브릭 클러스트에서 관리자 권한을 가져갈 수 있음.
2) 슈퍼파브릭스(Super FabriXss) : 오늘 공개. 위험한 취약점. MS가 이번 달에 패치함. 잇스플로잇에 성공할 경우 공격자가 서비스 패브릭 노드에 호스팅 된 컨테이너에서 원격 코드 실행 공격을 실시할 수 있음. 클러스터 노드들에서 악성 컨테이너를 생성하고 구축할 수도 있음.
“이 취약점의 익스플로잇이 성공하려면 피해자가 악성 URL을 한 번 클릭을 하긴 해야 합니다. 그리고 이벤트(Events) 탭에 있는 클러스터 타입(Cluster Type)도 클릭해야 합니다. 여기까지 성공하게 되면 민감한 클러스터 데이터가 공격자에게 드러납니다. 거기서부터는 공격의 범위가 크게 확대될 수 있습니다.” 쉬트릿의 설명이다.
취약점이 발동되는 이유는 노드네임(Node Name)이라는 매개변수가 취약하기 때문이다. 노드네임의 취약점을 익스플로잇 하면 피해자의 컨텍스트에서 아이프레임을 삽입할 수 있게 된다고 쉬트릿은 자사 블로그에 설명하고 있다. “그리고 이 아이프레임을 통해 공격자가 제어하고 있는 원격 서버에서 파일들을 가져올 수 있게 됩니다. 그러면서 악성 파워셸 리버스셸을 실행할 수 있게 됩니다.”
애저 사용자들을 위한 방어법
오카시큐리티가 MS에 이 취약점에 대해 알린 건 12월 20일이다. MS는 31일부터 해당 내용에 대한 상세 조사를 시작했다. MS와 오카 측은 CVE-2023-23383이라는 관리 번호를 부여하기 전에 여러 번 대화를 진행했으며, 3월 14일 패치가 발표되고 자동으로 적용되기 전까지도 협업 체계를 이뤄갔다고 한다.
애저 서비스 패브릭 사용자들이 이 취약점과 패치에 대하여 따로 할 일은 없다. “하지만 오늘 날 기업들이 사용하는 클라우드 기반 아키텍처에서도 충분히 취약점이 나올 수 있다는 것과, 그 취약점을 패치하지 않고 사용했을 때 클라우드 사용자라는 이유만으로 위험해질 수 있다는 점을 입증하는 사례가 될 수 있습니다. 클라우드의 취약점은 온프레미스에서 발견된 취약점과는 차원이 다른 위험성을 내포하고 있습니다.”
그래서 쉬트릿은 클라우드 사용자라면 더더욱 기본 보안 위생 습관을 잘 지켜야 한다고 강조한다. “패치를 주기적으로 적용하고, 보안 상황을 모니터링하고, 취약점 소식을 빠르게 접해서 대책을 마련해야 합니다. 또한 클라우드를 안전하게 사용하는 방법을 꾸준하게 교육시키고, 망도 분리해서 사용하며 최소한의 권한의 법칙을 유지하는 것도 중요합니다. 클라우드 서비스 업체에 보안의 모든 것을 다 맡기는 것이 가장 위험합니다.”
3줄 요약
1. MS, 애저 환경에서 발견된 고위험군 취약점 패치.
2. 클라우드 환경에 내재된 취약점으로 익스플로잇 하면 사용자의 컨테이너와 클러스터 통해 여러 악성 행위 가능.
3. 클라우드 아키텍처에도 취약점이 다분히 있을 수 있으니 안전한 클라우드 사용 습관이 중요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>