Hadoop, CouchDB 새로운 공격 대상으로 부상

Hadoop, CouchDB 새로운 공격 대상으로 부상 

Hadoop, CouchDB Next Targets in Wave of Database Attacks

<이미지 출처 : https://threatpost.com/hadoop-couchdb-next-targets-in-wave-of-database-attacks/123220/>

최근 공격자들이 안전하지 않은 Hadoop, CouchDB를 대상으로, 공격을 확대하고 있습니다.

보안 연구원 Victor Gevers는 현재까지 126개의 Hadoop 애플리케이션과 452개의 CouchDB 애플리케이션이 공격을 받았다고 밝혔습니다. 이번 공격은 MongoDB와 Elasticsearch와 동일합니다. 이는 Hadoop과 CouchDB의 기본 설정, 즉 자격증명이 필요없거나 자격증명이 설정되어 있지만 쉽게 계정정보를 획득할 수 있는 상황에서 진행 가능한 쉬운 공격이었습니다. 

Fidelis Treat 연구원이 해당 공격을 조사한 결과, MongoDB와 동일하게 Hadoop 역시 아무런 자격증명 없이 접근이 가능하게 기본 설정되어 있다는 점을 확인하였습니다. 이는 Hadoop 시스템에 대한 이해도가 있는 공격자라면, 쉽게 시스템의 파일들을 삭제할 수 있다는 의미입니다.

MongoDB 공격자는 피해자에게 삭제된 데이터를 복구하고 싶다면 랜섬머니를 지불하라고 협박합니다. 그러나 Hadoop 시스템에서는 데이터를 파괴시킨 후, 파괴된 데이터의 목록만 남겨두는 것이 특징입니다. CouchDB 공격자 역시 MongoDB, Elasticsearch와 동일하게 삭제된 데이터 목록을 남겨놓은 후, 삭제된 데이터를 복구하고 싶으면 랜섬머니를 지불하라고 협박합니다. 그러나 현재 MongoDB, Elasticsearch와 같이, 데이터는 이미 완전히 삭제되었기 때문에 피해자들은 랜섬머니를 지불해도 데이터를 복구할 가능성이 거의 없습니다.

Cloudera는 Apache Hadoop 기반의 SW를 제공하는 기업 중 하나입니다. 이 기업의 창시자인 Mike Olson은 이번에 발생한 문제가 플랫폼의 보안적인 문제가 아니라, 기본 설정에 대한 규범과 관련이 있다고 말했습니다. 

Hadoop에는 일련의 보안 및 데이터 보호 매커니즘이 존재하며, 모든 데이터를 암호화하여 보관할 수 있습니다. 따라서 암호화 키 관리부서는 시스템 중 암호화 키를 분리시킬 수 있습니다. 또한 이러한 데이터에 접근할 때 자격증명 과정을 통하고, 방문자 관리 및 방문기록 로깅 기능을 이용할 수 있습니다. 그러나 이번에 공격 받은 시스템들은 모두 이러한 보안기능을 사용하지 않았습니다. 관련하여 Olson은 SW를 설치하는 매 단계에서 이러한 보안조치를 취해야 한다고 당부했습니다. 

Victor Gevers는 해당 공격을 추적하기 시작했습니다. Hadoop 어플리케이션을 타겟으로 한 공격을 발견한 뒤, CouchDB 어플리케이션을 타겟으로 하는 공격을 찾아냈습니다.

최근 Shodan scan이 공개한 조사 결과에 따르면, 5,160개의 Hadoop 어플리케이션과 4,530개의 CouchDB 어플리케이션이 취약한 것으로 확인되었습니다. 또한 대부분 Hadoop 시스템을 공격할 때에는 수동으로 공격을 시도했지만, CouchDB를 공격할 때에는 자동화 공격을 사용한 것으로 밝혀졌습니다. 이는 MongoDB, Elasticsearch를 공격했을 당시와 동일합니다. 

또한 Victor Gevers는 "Kraken0" 블랙마켓에서 판매되는 랜섬웨어 패키지를 언급하며, 이는 전문적으로 MongoDB, Elasticsearch 및 CouchDB 등과 같은 오픈소스 DBMS를 타겟으로 하는 랜섬웨어라고 설명했습니다.

출처 : 

https://threatpost.com/hadoop-couchdb-next-targets-in-wave-of-database-attacks/123220/