기술 지원
문서
로그인
문의하기
EmojiDeploy 버그를 통해 Microsoft Azure 서비스에서 RCE 가능
오반라 오페예미
2023년 2월 3일 - TuxCare 전문가 팀
에르메틱 연구원들은 공격자가 영향을 받는 시스템에서 원격으로 코드를 실행할 수 있도록 허용하는 Microsoft Azure 서비스의 크로스 사이트 요청 위조(CSRF) 버그인 EmojiDeploy를 발견했습니다.
이 회사의 블로그 게시물에 따르면 이 취약점은 Azure의 서비스에 대한 인증 프로세스가 처리되는 방식에 있습니다. 공격자는 CSRF 버그를 악용하여 사용자를 속여 코드를 실행하거나 민감한 정보에 액세스하는 등의 작업을 대신 수행하도록 유도할 수 있습니다.
이 결함은 모의 침투 테스트 중에 발견되어 버그 바운티 프로그램을 통해 Microsoft에 보고되었습니다. 이후 Microsoft는 이 문제를 해결하기 위한 패치를 발표했습니다.
이 버그는 Azure Functions, Azure App Service, Azure Logic Apps와 같은 주요 서비스에서 사용하는 백엔드 SCM(소스 제어 관리) 도구인 Kudu에서 일련의 잘못된 구성 및 보안 우회를 조작하여 발견되었습니다.
EmojiDeploy는 사이트 간 요청 위조에 취약한 방식으로 기본적으로 구성되어 있기 때문에 이 버그에 붙여진 이름입니다. 이 버그를 사용하면 공격자가 특수 문자를 사용하여 악성 도메인 이름 시스템 레코드를 생성할 수 있으며, 이를 통해 SCM 서버의 출처 확인을 우회할 수 있습니다. 이 사례에서 에르메틱 연구진이 이러한 확인 및 보안 제어를 우회하기 위해 사용한 특수 문자는 이모티콘처럼 보이는 '._'였습니다.
공격자는 브라우저를 통해 악성 zip 파일을 배포하기 위해 취약한 엔드포인트를 찾아야 합니다. 공격자는 웹 사용자로 코드와 명령을 실행하고, 중요한 데이터를 훔치거나 삭제하고, 앱의 관리 ID를 장악하고, 다른 Azure 서비스에서 측면 이동을 수행하고, 클릭 한 번으로 향후 피싱 캠페인을 용이하게 할 수 있습니다.
에르메틱의 연구진에 따르면 이 취약점은 공격자가 전체 시스템을 장악하고 중요한 데이터를 훔칠 수 있기 때문에 Azure 서비스를 사용하는 조직에 심각한 결과를 초래할 수 있다고 합니다. 또한 이 결함은 중요한 인프라 또는 민감한 데이터를 관리하기 위해 Azure를 사용하는 조직에 특히 위험할 수 있다고 경고합니다.
"이번 취약점은 조직이 시스템 보호에 주의를 기울이고 강력한 보안 조치를 마련해야 할 필요성을 강조합니다."라고 에르메틱의 CEO 아사프 하렐은 말합니다. "또한 가장 평판이 좋은 기업도 보안 취약성에서 자유로울 수 없다는 사실을 상기시켜 줍니다."
Microsoft는 이 취약점을 인지하고 있으며 패치를 위해 노력하고 있다는 성명을 발표했습니다. 또한 이 취약점이 야생에서 악용되고 있다는 증거는 아직 발견되지 않았다고 밝혔습니다. 그들은 고객에게 가능한 한 빨리 패치를 적용하고 의심스러운 활동이 있는지 시스템을 계속 모니터링할 것을 권장합니다.
이 글의 출처는 SCMagazine의 기사입니다.
