아마존 클라우드 내 악성코드 설치 가능하다고?

아마존 EC2 및 클라우드 서버 내 DDoS 악성코드 설치할 수 있어

[보안뉴스 민세아] 글로벌 보안업체 카스퍼스키랩은 검색엔진 소프트웨어 엘라스틱서치(Elasticsearch) 내 취약점을 이용해 아마존 EC2를 포함한 클라우드 서버 내 DDoS 악성코드를 설치할 수 있다고 발표했다.

자바로 개발된 엘라스틱서치는 오픈소스로 제공되는 검색엔진으로, 문서 내 다양한 유형에 대해 텍스트 검색을 지원한다. 분산형 아키텍처 구조로 설계돼 주로 클라우드 환경에서 사용되며, 아마존 EC2 및 구글 Compute Engine 등 다양한 클라우드 플랫폼에서 사용이 가능하다.

엘라스틱서치 1.1.x 버전의 경우 액티브 스크립팅(activing scripting)으로 인한 취약점이 존재하는데, 기본 설정에서 액티브 스크립팅이 활성화돼 있으며 해당 기능은 인증 단계 부재 및 스크립트 코드가 샌드박스화 돼 있지 않아 보안상 취약하다. 보안전문가들은 이 기능을 통해 서버에 임의의 코드를 실행할 수 있는 취약점을 발표했다(취약점 코드 : CVE-2014-3120).

엘라스틱서치 개발자는 1.1.x 버전의 보안 패치를 발표하지 않았으나, 금년 5월경 기본 설정에서 동적 스크립트 기능을 비활성화 처리한 1.2.0 버전을 배포했다.

카스퍼스키랩은 아마존 EC2 서버에 대해 초기 단계부터 모니터링을 수행한 결과 공격자가 엘라스틱서치 취약점을 이용해 펄 기반의 웹셸을 설치했다고 발표했다. 해당 웹셸을 통해 DDoS 공격 악성코드“mayday”의 변종을 서버에 설치한 것이다.

해당 악성코드의 경우 미국 내 은행, 대형 전자업체, 일본 서비스 공급자 등을 목표로 오직 UDP 트래픽만을 이용해 공격을 수행한다. 고객들에게 해당 문제로 잠재적 위협이 있음을 공지했으며, 카스퍼스키랩에서는 이러한 피해는 아마존 EC2 외 다른 클라우드 공급자들에게도 발생할 수 있음을 당부했다.

이와 관련 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처 내용을 참조하면 된다.

[출처]

1. http://www.computerworld.com/s/article/9249991/

Attackers_install_DDoS_bots_on_Amazon_cloud_exploit_Elasticsearch_weakness?taxonomyId=85

[용어설명]

웹셸 : 웹을 통해 원격에서 리눅스 명령어를 실행할 수 있도록 제작된 백도어 스크립트

[민세아 기자(boan5@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)