아파치 오픈위스크의 취약점 때문에 IBM 클라우드도 위험

아파치 오픈위스크 기반의 IBM 클라우드 서비스, 공격 있었나
콘테이너 내 소스코드 덮어쓰기 가능하게 해주는 취약점

[보안뉴스 문가용 기자] 보안 전문가들이 아파치 오픈위스크(Apache OpenWhisk) 서버레스 클라우드 플랫폼에서 두 개의 취약점을 발견했다. 이 취약점을 통해 악성 행위자들이 파일 덮어쓰기와 임의 코드 실행을 할 수 있다고 한다.

[이미지 = iclickart]

아파치 오픈위스크는 오픈소스 플랫폼으로 이벤트 발생 시 그에 대한 대응으로 코드를 실행할 수 있도록 설계되어 있다. 아파치 오픈위스크는 인프라와 서버를 담당하고, 고객들은 애플리케이션 개발에 집중할 수 있도록 되어 있다.

IBM이 제공하는 클라우드 서비스인 클라우드 펑션즈(Cloud Functions)가 바로 아파치 오픈위스크를 기반으로 하고 있는데, 이 때문에 IBM 클라우드 펑션즈 역시 공격에 취약하게 되었다.

이번에 발견된 취약점 중 하나는 CVE-2018-11757이다. 보안 업체 퓨어섹(PureSec)에서 발견했다. 또 다른 취약점은 CVE-2018-11756으로, 11757 취약점을 조사하는 과정에서 발견된 것이다. 오픈위스크와 IBM 측 모두 두 취약점에 대한 패치를 개발해 배포했다.

하지만 퓨어섹에 의하면 이 취약점들은 이미 공격을 허용했을 수도 있다고 한다. “특정 조건이 갖춰지면 콘테이너 내에서 실행되고 있는 함수의 소스코드를 덮어쓰기 할 수 있습니다. 그렇게 함으로써 같은 콘테이너 내에서 다음에 실행되는 것들에 영향을 줄 수 있죠. 콘테이너 사용자가 각각 달라지더라도 말입니다.”

또한 이 취약점을 누군가 알아내고, 그로 인해 공격을 성공시켰다면, 민감한 정보가 새나갔을 수도 있다고 퓨어섹 측은 설명한다. “뿐만 아니라 정상적인 행위가 원래의 로직에 따라 실행될 때, 그에 상응하는 가짜 로직이 발동되도록 할 수도 있습니다. 클라우드 내에 오래 머무르는, APT식 공격도 가능하고요.”

그렇게 해서 누군가 클라우드 내로 침투하는 데 성공했다면, 1) 사용자의 민감한 정보를 훔치고, 2) 클라우드 내 저장된 정보를 조작하고, 3) 암호화폐를 채굴하거나, 4) 디도스 공격을 실시할 수 있게 된다고 퓨어섹은 덧붙였다. 이러한 공격 행위가 발생했거나 진행되고 있는지도 더 조사해야 한다는 것.

오픈위스크는 각 행위(함수)를 도커 콘테이너 내에서 실행한다. 또한 각 기능과의 상호작용은 8080 포트를 통해 REST 인터페이스를 거쳐 일어난다. 각 콘테이너는 두 개의 엔드포인트를 가지고 있다. 하나는 /init으로 실행되어야 할 코드를 접수하고, 다른 하나는 /run으로 행위에 대한 아규먼트를 접수해 코드를 실행한다.

“이게 무슨 말이냐면, 예를 들어 누군가 원격 코드 실행 취약점을 찾아냈다면 8080 포트의 /init 인터페이스로 로컬 HTTP 요청을 강제로 보냄으로써 소스코드를 덮어쓰기 할 수 있다는 뜻이 됩니다.” 퓨어섹은 보다 상세한 설명을 블로그를 통해 공개했으며, IBM 클라우드 펑션즈를 겨냥한 공격이 어떤 식으로 이뤄질 수 있는지 영상도 제작했다.

아파치 오픈위스크의 개발자 중 한 명인 로드릭 라바(Rodric Rabbah)는 이번 연구 결과에 대해 “악의를 가진 공격자가 콘테이너 내에서 실행되고 있는 코드를 바꿔치기 함으로써 그 다음에 실행되는 함수에 영향을 줄 수 있는 취약점을 발견한 것”이라고 정리했다.

한편 아파치 오픈위스크와 관련된 커뮤니티는 퓨어섹의 연구 결과 발표에 이어 발 빠르게 움직였다. Node.js, 파이선, 스위프트, 자바, PHP, 루비, 발레리나(Ballerina)의 런타임이 모두 조사됐으며, 그 결과 실행되고 있는 콘테이너 내에서 코드가 변형되는 걸 탐지할 수 있게 되었다고 라바는 설명했다. 동시에 경고 메시지도 개발자에게 나오게끔 바뀌었다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)