[보안뉴스] 마이크로소프트 애저에서 치명적인 취약점 두 개 등장

CVE-2019-1234 : 서버 측의 요청 조작을 일으키는 취약점
CVE-2019-1372 : 원격 코드 실행 취약점...패치는 작년 말에 배포

보안 업체 체크포인트(Check Point)가 마이크로소프트 애저 인프라에서 두 가지 취약점을 발견하고, 오늘 기술 세부 사항을 공개했다. 뿐만 아니라 발견 경위와 가능한 공격 시나리오까지 함께 발표됐다.

연구에 참여했던 로넨 슈스틴(Ronen Shustin)은 자사 블로그를 통해 “클라우드 인프라는 안전하다는 일반적인 관념을 깨기 위해서 연구를 시작했다”고 밝혔다. 결과적으로 그 관념을 깰만한 취약점이 발견됐고, 체크포인트는 이를 MS에 알려 패치가 마련되도록 하는 데 기여했다고 한다. 패치가 배포된 건 2019년말이다.

두 가지 취약점 중 하나인 CVE-2019-1234는 서버 측 요청 조작을 일으키는 버그로 애저 스택(Azure Stack)이라는 온프레미스 애저 환경에서 발견됐다. 애저 스택은 기업용 하이브리드 클라우드 서비스다. 애저 스택이 특정 요청들을 확인하지 않았을 때 발생하는 스푸핑 오류라고 정리될 수 있다. 특수하게 조작된 요청을 애저 스택 포털에 전송함으로써 익스플로잇이 가능하다.

체크포인트의 보안 전문가들은 제일 먼저 애저 스택 개발 키트(ASDK)를 자신들의 서버에 설치하고 취약점이 있을 것으로 보이는 영역들을 매핑하기 시작했다고 한다. ASDK는 코어 서비스로 구성되어 있으나, 앱 서비스(App Service)나 SQL 프로바이더(SQL Providers)와 같은 기능을 통해 확장도 될 수 있다. “ASDK는 애저 클라우드에 비하면 제한된 기능을 가지고 있고, 1~2개 버전 정도 뒤쳐진 소프트웨어를 기반으로 하고 있습니다. 하지만 애저 스택과 애저 공공 클라우드는 많은 부분에서 비슷하기 때문에 거기서부터 연구를 시작하기로 했습니다.”

애저 스택에서 제공하는 서비스 중 가장 먼저 조사를 시작한 것은 데이터서비스(DataService)다. 인증 과정이 없다는 오류를 가지고 있었다. “이를 통해 공격자는 애저에서 운영되는 기계에서부터 민감한 정보를 취득할 수 있게 됩니다. 공유된 기계든 고립된 기계든 상관이 없이 공격 가능합니다. 공격을 위해서는 애저 스택 포털(Azure Stack Portal)에 대한 접근 권한을 먼저 가져가야 하고, 이를 통해 비승인 HTTP 요청을 전송해야 합니다. 그러면 테넌트들과 인프라 장비의 스크린샷과 데이터를 열람할 수 있습니다.”

이 취약점은 애저 스택에만 있는 취약점이다. 하지만 체크포인트의 보안 전문가인 야니브 발마스(Yaniv Balmas)는 “실질적이고 확실하게 존재하는 위협”이라고 말한다. “누군가 테넌트를 여러 개 보유한 애저 스택을 운영한다고 생각했을 때, 공격자가 스크린샷을 찍을 수 있게 된다면 대단히 위험한 사태가 벌어질 수 있습니다. 물론 아무런 일도 일어나지 않을 수 있지만요. 결국 애저가 어떤 식으로 구성되어 있느냐에 따라 전혀 다른 결과가 일어날 겁니다.”

나머지 하나의 취약점은 CVE-2019-1372로 애저 앱 서비스(Azure App Service)에서 발견됐다. 원격 코드 실행을 가능케 해주는 취약점이라고 한다. 애저 앱 서비스는 사용자들이 웹 앱, 모바일 백엔드, 레스트풀 API(Restful API)를 만들고 호스팅 할 수 있게 해주는 기능이다. 애저 스택이 메모리에 버퍼를 복사하기 전에 길이를 확인하지 않기 때문에 생기는 문제다. 공격자가 이를 익스플로잇 할 경우 NT AUTHORITY/system의 컨텍스트에 맞는 코드를 실행할 수 있게 된다.

거기까지 성공한 공격자는 애저 클라우드에서 무료 사용자를 하나 만듦으로써 테넌트 애플리케이션, 데이터, 계정 등을 침해할 수 있게 된다. 혹은 비승인 HTTP 요청들을 애저 스택 사용자 포털로 전송할 수도 있다. 이렇게 되면 애저 서버 전체에 대한 통제권을 공격자들이 가져가고, 따라서 해당 애저 서버와 비즈니스 관련 데이터들을 완전히 장악할 수 있게 된다.

발마스는 “같은 서버에 있는 모든 워크로드를 공격자가 완벽히 열람하는 게 가능할 수도 있다”며 “열람 후 조작, 삭제 같은 행위도 가능하니 상당히 위험한 취약점임에 분명하다”고 덧붙였다. 그 외 CVE-2019-1372는 권한 상승까지 일으킬 수 있는 취약점이라는 사실도 블로그에 언급됐다.