상세 컨텐츠

본문 제목

AWS, 고객 데이터 노출 시킨 보안 취약점 수정

국내외 보안동향

by 알약4 2022. 1. 14. 09:00

본문

AWS fixes security flaws that exposed AWS customer data

 

아마존 웹 서비스(AWS)가 공격자가 다른 AWS 고객 계정 내 데이터에 접근 및 변경할 수 있는 AWS Glue 취약점을 수정했습니다.

 

AWS Glue는 앱 개발, 머신 러닝, 분석을 위한 데이터를 검색, 준비, 결합하는 것을 돕는 서버리스 클라우드 데이터 통합 ​​서비스입니다.

 

이 취약점은 악용이 가능한 AWS Glue 기능과 내부 API가 공격자가 권한을 상승하여 해당 지역 내 모든 서비스 리소스에 액세스할 수 있도록 허용하도록 잘못 구성되었기 때문에 발생합니다.

 

Orca Security의 클라우드 보안 연구원인 Yanir Tsarimi는 아래와 같이 설명했습니다.

 

"조사를 진행하던 중, 우리는 AWS 서비스 자체 계정에 대한 크리덴셜을 얻는데 악용될 수 있는 AWS Glue 내 기능을 발견했으며 이를 통해 내부 서비스 API 전체에 접근할 수 있는 권한을 얻을 수 있었습니다.”

 

"Glue 내부 서비스 API의 내부 구성 오류과 함께, 우리는 전체 관리 권한을 포함하여 해당 지역 내 서비스에 사용되는 모든 리소스에 무제한으로 접근할 수 있는 지점까지 계정의 권한을 상승시킬 수 있었습니다.”

 

연구원들은 Orca Security 소유의 AWS 계정만을 사용하여 이 취약점을 밝혀냈으며, 연구 도중 다른 어떤 AWS 고객의 정보나 데이터에도 접근하지 않았다고 덧붙였습니다.

 

 

<이미지 출처: https://orca.security/resources/blog/aws-glue-vulnerability/>

 

 

취약점을 조사하던 중, 연구원들은 다른 AWS 고객의 계정에서 Glue 서비스가 신뢰하는 역할을 맡았습니다. Glue 액세스 권한이 있는 모든 계정에는 이러한 역할이 하나 이상 존재합니다.

 

또한 이들은 Glue 작업, 개발 엔드포인트, 워크플로우, 크롤러, 트리거에 대한 메타데이터를 포함한 AWS 지역의 AWS Glue 서비스 관련 리소스를 쿼리 및 변경할 수 있었습니다.

 

AWS Glue 서비스 팀은 Orca Security의 제보를 받은 지 몇 시간 내에 취약점을 재현 및 인정했으며, 다음 날 아침 해당 문제를 전 세계적으로 부분적으로 완화시켰습니다.

 

이들은 Superglue 취약점에 대한 완전한 패치를 단 며칠 만에 배포하여 잠재적 공격자가 AWS Glue 고객 데이터에 접근하는 것을 막았습니다.

 

AWS의 보안 팀은 Orca SecurityAWS CloudFormation 서비스(BreakingFormation으로 불림)에서 발견한 두 번째 취약점도 패치했습니다.

 

연구원에 따르면, XXE(XML External Entity) 취약점으로 인해 내부 AWS 인프라 서비스의 파일 및 크리덴셜이 공개되는 경우가 발생합니다.

 

Orca Security Tzah Pahima는 아래와 같이 덧붙였습니다.

 

"우리 연구팀은 호스트에서 발견된 데이터(크리덴셜 및 내부 엔드포인트와 관련된 데이터 포함)를 고려했을 때, 공격자가 이 취약점을 악용하여 테넌트 경계를 우회해 AWS의 모든 리소스 접근할 수 있는 권한을 부여할 수 있을 것으로 생각합니다.”

 

하지만 AWS 부사장인 Colm MacCárthaigh BreakingFormation 버그가 호스트 수준 크리덴셜에 접근하는 데만 악용될 수 있었고, AWS CloudFormation 호스트가 모든 AWS 계정의 리소스에 접근할 수 있었던 것은 아니라고 밝히며 해당 주장을 부인했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/aws-fixes-security-flaws-that-exposed-aws-customer-data/

https://orca.security/resources/blog/aws-glue-vulnerability/

관련글 더보기

댓글 영역