데이터센터 수천 곳 영향 미치는 심각한 SaltStack 보안취약점 발견
오픈소스 SaltStack Sat 구성 프레임워크에서 치명적인 보안 취약점 2개가 발견되었다. 이 취약점은 CVE-2020-11651, CVE-2020-11652로 등록되었으며, CVSS 점수 10을 기록했다. 특히 데이터센터에 영향을 미칠 수 있는 심각한 취약점이라 이용자들의 각별한 주의가 필요하며 즉시 최신 버전으로 패치를 적용 해야 한다.
이번 CVE-2020-11651은 인증되지 않은 네트워크 클라이언트에 의도치 않게 기능이 노출되어 발생하는 인증 우회 취약점으로, 공격자가 이 취약점을 악용할 경우 데이터 센터와 클라우드 환경에 설치된 원격 서버에서 임의 코드를 실행할 수 있는 것으로 나타났다.
이 취약점을 최초 발견한 에프시큐어(F-Secure) 연구원들은 지난 3월 초 이 취약점을 발견했으며, SaltStack 연구원들이 이 문제를 해결하는 패치(버전 3000.2)를 공개한 후 하루 뒤인 4월 30일에 이 취약점에 대한 세부사항을 공개했다.
또 CVE-2020-11652는 디렉터리 접근 공격(directory traversal)으로 네트워크 요청 내 파라미터 등의 신뢰할 수 없는 입력을 적절히 검사하지 않아 마스터 서버 내 파일 시스템 전체에 무제한 액세스를 허용한다.
에프시큐어 연구원들은 공격자들이 이 취약점을 곧 실제 공격에 사용할 수 있을 것이라 경고했다. SaltStack 또한 Salt 환경을 보호하기 위한 Salt 환경을 보호하기 위한 조언을 따르도록 권장했다.
연구원에 따르면, 이 취약점 2개는 툴의 ZeroMQ 프로토콜에 존재한다. 이 취약점은 ‘요청 서버’ 포트에 연결이 가능한 공격자가 모든 인증 및 권한 제어를 우회하여 임의 제어 메시지를 퍼블리싱한다.
그리고 ‘마스터’ 서버 파일 시스템 내 모든 파일을 읽기/쓰기 가능하며 루트 권한으로 마스터에 인증하는데 사용되는 비밀 키를 훔칠 수 있다. 또 이 취약점으로 인해 마스터 및 미니언 모두에서 루트 권한으로 원격 명령을 실행할 수 있다.
공격자는 이 취약점을 악용해 마스터 서버에서 관리 명령을 호출하고 마스터 퍼블리싱 서버에 직접 메시지를 큐에 추가할 수 있어, 결과적으로 Salt 미니언이 악성코드를 실행하도록 만들 수 있다.
또한 파일을 특정 위치로 쓰고 읽는 기능을 포함하는 휠 모듈에서 파일 경로를 제대로 검사하지 않아 의도한 디렉터리 외부의 파일을 읽도록 허용하는 디렉터리 접근 취약점이 발견되었다.
F-Secure 연구원들은 초기에 진행한 스캔 결과 취약한 Salt 인스턴스 5천 개 이상이 공개 인터넷에 노출된 상태였다고 밝혔다.
Salt를 사용 중일 경우 소프트웨어 패키지를 최신 버전으로 업데이트해야 안전할 수 있다.
★정보보안 대표 미디어 데일리시큐!★
◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com