기술 지원
문서
로그인
문의하기
새로운 위협 유형을 보여주는 IBM 클라우드 공급망 취약점
2022년 12월 13일 TuxCare 홍보팀
Wiz 보안 연구원들은 최초의 클라우드 서비스 제공업체 공급망 취약점인 지옥의 키체인을 PostgreSQL용 IBM 클라우드 데이터베이스에서 발견했습니다.
이는 연구원들이 IBM Cloud의 서비스형 PostgreSQL에 대한 정기적인 감사를 수행하면서 권한을 상승시켜 수퍼유저가 되어 기본 가상 머신에서 임의의 코드를 실행하고 거기서부터 내부 보안 경계에 계속 도전할 수 있는지 여부를 확인하는 과정에서 발생했습니다.
노출된 세 가지 비밀은 Kubernetes 서비스 계정 토큰, 프라이빗 컨테이너 레지스트리 암호, CI/CD 서버 자격 증명으로 구성되어 있습니다. 이 비밀들은 내부 빌드 서버에 대한 지나치게 허용적인 네트워크 액세스와 결합되어 공격자가 내부 IBM Cloud 서비스를 침해하고 호스팅된 시스템의 내부 이미지 구축 프로세스를 방해함으로써 클라우드 고객을 대상으로 공급망 공격을 시작할 수 있게 해줍니다.
또한 네트워크 액세스를 나타내며 프로덕션 환경과 빌드 환경을 연결하는 금지된 링크와 공격자가 대상 환경 전체에서 발견한 하나 이상의 흩어진 비밀을 모아놓은 키체인이 있습니다. 두 시나리오 모두 비위생적이지만 그 자체로는 위험하지 않습니다. 하지만 이 두 가지가 결합하면 치명적인 조합을 이룬다고 연구원들은 말합니다.
지옥의 키체인은 ICD의 SQL 인젝션 결함으로 시작되며, 이 결함은 공격자에게 슈퍼유저(일명 "ibm") 권한을 부여하고 데이터베이스 인스턴스를 호스팅하는 기본 가상 머신에서 임의의 명령을 실행하는 데 사용됩니다.
이 기능은 Kubernetes API 토큰 파일에 액세스하는 데 사용되며, PostgreSQL용 ICD와 관련된 이미지를 저장하는 IBM의 비공개 컨테이너 레지스트리에서 컨테이너 이미지를 검색하고 해당 이미지에서 추가 비밀을 스캔하는 등 광범위한 익스플로잇 후 작업을 수행할 수 있게 해줍니다.
연구원들은 "PostgreSQL 엔진의 수정으로 인해 서비스에 새로운 취약점이 효과적으로 도입되었습니다."라고 썼습니다. "이러한 취약점은 악의적인 공격자가 플랫폼에 대한 공급망 공격으로 정점을 찍는 광범위한 익스플로잇 체인의 일부로 악용되었을 수 있습니다."
Wiz는 이미지 매니페스트 파일에서 내부 아티팩트 리포지토리와 FTP 자격 증명을 추출하여 신뢰할 수 있는 리포지토리와 IBM 빌드 서버에 무제한 읽기-쓰기 액세스 권한을 효과적으로 부여할 수 있다고 설명했습니다.
IBM은 이 버그가 PostgreSQL 인스턴스용 클라우드 데이터베이스에 영향을 미칠 수 있다고 밝혔지만, SQL 인젝션을 통해 PostgreSQL 권한 상승을 사용하는 악의적인 활동의 증거는 발견되지 않았으며, 이후 모든 고객을 대상으로 해당 취약점을 패치했습니다. 고객은 별도의 조치를 취할 필요가 없습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
