클라우드 환경에서 디도스, 데이터 유출, 원격 코드 실행 공격 가능케 하는 취약점 발견돼
https://www.boannews.com/media/view.asp?idx=129955
클라우드 환경에서 디도스, 데이터 유출, 원격 코드 실행 공격 가능케 하는 취약점 발견돼
클라우드 생태계에서 로깅을 담당하는 유명 유틸리티에서 치명적인 취약점이 하나 발견됐다. 이 때문에 현존하는 주요 클라우드 서비스들이 전부 위험한 상황이라고 한다. 문제의 유틸리티는
www.boannews.com
보안뉴스 2024.05.21 문정후 기자
- 클라우드 생태계에서 로깅을 담당하는 유명 유틸리티인 플루언트비트(Fluent Bit)에서 치명적인 취약점이 발견되었으며, 사용자가 매우 많아 이 취약점의 파급력은 매우 높을 것으로 예상
- 플루언트비트는 로그들을 모으고, 처리하고, 전달하는 기능을 수행하는 유틸리티로, 2022년 기준 30억 회 이상 다운로드 됐으며, 지금도 하루 1천만 이상 설치되고 있음
- VM ware, 시스코, 어도비, 링크드인 등 대형 기업에서 적극 사용되고 있으며, AWS, MS, Google 등 손꼽히는 클라우드 업체들도 플루언트비트를 사용
- 발견된 취약점은 "링귀스틱럼버잭(Linguistic Lumberjack)"으로 임베드 된 HTTP 서버가 일부 요청을 처리할 때 발동됨. 어떻게 익스플로잇 하느냐에 따라 디도스 공격이나 데이터 유출, 원격 코드 실행 공격 등으로 이어지며, 이런 공격들은 모두 클라우드 환경에서 이뤄짐
- 해당 취약점을 발견한 테너블(Tenable)은 이 취약점과 전혀 관계 없는 문제를 조사하다가 특정 클라우드 서비스에서 이상한 점을 발견했고, 조사영역을 확대했다가 중요 오픈소스에 문제가 있다는 것을 알아챔
- 조사과정 중 엔드포인트(/api/v1/traces)에서 일정 유형의 입력 데이터가 적절하게 확인되지 않은 채 다른 프로그램으로 넘어가는 것을 발견함. 이를 활용해 문자열이 아닌 값을 입력할 때 메모리에서 여러 가지 문제를 일으킬 수 있다는 걸 알아냄
- 플루언트비트 2.0.7~3.0.3 버전에까지 존재하는 해당 취약점의 공식 관리번호는 CVE-2024-4323이며, CVSS 기준 10점 만점에 9.5점으로 심각함
대응방안
- 플루언트비트를 사용하는 조직이라면 반드시 업데이트 적용해야함
- 플루언트비트와 관련된 트래픽을 모니터링하는 것이 필요
- 승인을 받은 사용자만 플루언트비트와 관련된 작업을 할 수 있도록 설정
- 패치 때까지 아예 사용하지 않도록 비활성화시키는 것이 가장 안전