주요 클라우드 플랫폼의 치명적인 버그

모든 주요 클라우드 플랫폼에서 DoS, RCE, 데이터 유출을 가능하게 하는 치명적인 버그가 발견됐다. 널리 사용되는 로깅 서비스 Fluent Bit의 기본 활성화된 엔드포인트에서 해커들이 악용하면 대규모 클라우드 환경을 혼란에 빠뜨릴 수 있는 심각한 메모리 손상 취약점이 발견되었다.

 

Credit: Needpix.com

 

연구원들은 주요 클라우드 플랫폼 전반에 걸쳐 사용되는 클라우드 로깅 유틸리티에서 심각한 메모리 손상 취약점을 발견했다. 

 

Fluent Bit 서비스는 로그 및 기타 유형의 애플리케이션 데이터를 수집, 처리 및 전달하는 오픈 소스 도구다. 2022년 기준으로 30억 회 이상의 다운로드를 기록하며, 하루에 약 1000만 회씩 새로운 배포가 이루어지고 있는 인기 소프트웨어다. VMware, Cisco, Adobe, Walmart, LinkedIn과 같은 주요 기업뿐만 아니라 AWS, Microsoft, Google Cloud를 포함한 거의 모든 주요 클라우드 서비스 제공업체에서 사용되고 있다.

Fluent Bit의 문제점은 Tenable의 새로운 보고서에서 "Linguistic Lumberjack"이라고 불리며, 서비스의 내장 HTTP 서버가 추적 요청을 구문 분석하는 방식에 있다. 특정 방식으로 조작되면 클라우드 환경에서 서비스 거부(DoS), 데이터 유출 또는 원격 코드 실행(RCE)을 유발할 수 있다.

"모든 사람이 Azure, AWS, GCP의 취약성에 대해 흥분하지만, 이러한 주요 클라우드 서비스를 구성하는 기술에 대해 주목하는 사람은 거의 없다. 이제 모든 주요 클라우드 제공업체에 영향을 미치는 공통적인 핵심 소프트웨어 조각을 주목해야 한다."라고 Tenable의 선임 연구 엔지니어인 Jimi Sebree는 말했다. "서비스 자체뿐만 아니라 서비스의 구성 요소와 같은 애플리케이션 보안 폭탄을 찾아야 한다."

 

Linguistic Lumberjack 효과

Tenable 연구원들은 처음에는 공개되지 않은 클라우드 서비스의 별도의 보안 문제를 조사하던 중 예상치 못한 일이 일어나고 있음을 발견했다. 그들이 있던 위치에서는 클라우드 서비스 제공업체(CSP)의 내부 메트릭 및 로깅 엔드포인트에 광범위하게 접근할 수 있는 것처럼 보였다. 그 중에는 Fluent Bit 인스턴스도 포함되어 있었다.

이 교차 테넌트 데이터 유출은 사용자가 Fluent Bit의 내부 데이터를 쿼리하고 모니터링할 수 있도록 설계된 Fluent Bit의 모니터링 애플리케이션 프로그래밍 인터페이스(API)의 엔드포인트에서 발생했다. 그러나 일부 테스트 후, 소량의 유출된 데이터는 더 깊은 문제의 서막에 불과하다는 것이 밝혀졌다.

특정 엔드포인트 /api/v1/traces에서는 프로그램이 입력된 데이터 유형을 적절하게 검증하지 않고 구문 분석하기 때문에, 문자열이 아닌 값을 전달함으로써 공격자가 Fluent Bit에서 다양한 메모리 손상 문제를 일으킬 수 있다. 연구원들은 다양한 양수 및 음수 정수 값을 시도하여 서비스가 충돌하고 잠재적으로 민감한 데이터를 유출시키는 오류를 성공적으로 일으켰다.

공격자들은 또한 동일한 트릭을 사용하여 목표 환경에서 RCE 기능을 획득할 수 있다. 그러나 Tenable은 그러한 익스플로잇을 개발하려면 대상의 특정 운영 체제 및 아키텍처에 맞게 커스터마이징하는 데 많은 노력이 필요하다고 언급했다.

 

해결 방법

이 버그는 Fluent Bit 버전 2.0.7부터 3.0.3까지 존재한다. CVE-2024-4323으로 추적되고 있으며, 여러 사이트에서 10점 만점에 9.5 이상의 "치명적" CVSS 점수를 부여하고 있다. 4월 30일에 보고된 후, Fluent Bit의 유지 보수팀은 문제의 엔드포인트 입력 필드에서 데이터 유형을 적절히 검증하도록 서비스를 업데이트했다. 수정 사항은 5월 15일 GitHub의 프로젝트 메인 브랜치에 적용되었다.

자신의 인프라와 환경에 Fluent Bit를 배포한 조직은 가능한 한 빨리 업데이트할 것을 권장한다. 또는 Tenable은 관리자가 Fluent Bit의 모니터링 API와 관련된 모든 구성을 검토하여 승인된 사용자 및 서비스만 쿼리할 수 있도록 하거나, 아예 사용자나 서비스가 쿼리하지 않도록 할 것을 제안한다.

 

 

 

출처: Nate Nelson | Dark Reading (2024년 5월 21일)