해커들이 Fortune 500 기업과 보안 벤더의 클라우드 환경에 접근하기 위해 보안 교육 및 내부 침투 테스트를 위한 웹 애플리케이션을 악용하고 있습니다. 자동 침투 테스트 회사인 Pentera가 수행한 조사에서 해커들이 이 공격 벡터를 이용하여 시스템을 침범하고 암호화폐 채굴기, 웹 셸, 또는 민감한 시스템으로 전환하는 것을 발견했습니다.
Pentera의 연구진은 보안 교육 및 내부 침투 테스트를 위한 웹 애플리케이션인 DVWA, OWASP Juice Shop, Hackazon, 및 bWAPP를 악용하여 클라우드 환경에 접근하는 것을 발견했습니다. 이 웹 애플리케이션은 의도적으로 취약하고 있으며, 공개 인터넷에 노출되고 특권 클라우드 계정에서 실행될 경우 심각한 위협을 가집니다.
Pentera의 연구진은 1,926 개의 공개 웹에 노출된 취약한 애플리케이션을 발견했습니다. 이 애플리케이션은 IAM 역할이 너무 권한이 높고 AWS, GCP, Azure 클라우드 환경에 배포되어 있습니다. 이 애플리케이션은 여러 Fortune 500 기업에 속해 있으며, Cloudflare, F5, Palo Alto Networks와 같은 기업은 연구진의 발견을 받고 이 문제를 해결했습니다.
많은 애플리케이션은 클라우드 인증 정보를 노출하고 '최소 권한' 권장 관행을 따르지 않았으며, 절반 이상의 경우 기본 인증 정보를 사용하여 쉽게 취약점을 발견했습니다. Pentera가 발견한 인증 정보는 공격자가 S3 버킷, GCS, Azure Blob Storage에 대한 전체 액세스, Secrets Manager에 대한 읽기 및 쓰기 권한, 컨테이너 레지스트리와 클라우드 환경에 대한 관리자 액세스를 얻을 수 있도록 합니다.
**Pentera의 연구진은 이 위협이 이론적인 것이 아닌 실제로 해커들이 이 공격 벡터를 악용하고 있음을 확인했습니다. "조사 중에, 우리는 공격자가 이 정확한 공격 벡터를 악용하고 있는 것을 발견했습니다. 공격자가 시스템에 암호화폐 채굴기를 배치하고 웹 셸을 배치하고 시스템에 대한 지속성을 확보하는 것을 발견했습니다." 연구진은 연구 보고서에서 밝혔습니다.
연구진은 여러 미설정 및 취약한 애플리케이션을 평가한 결과, 해커들이 이 애플리케이션을 악용하고 있는 것을 발견했습니다. 연구진은 시스템에 셸을 배치하고 데이터를 열람하는 것을 목적으로 한 것입니다. 연구진은 616 개의 DVWA 인스턴스 중 20%가 해커들이 배치한 아티팩트를 포함하고 있음을 발견했습니다.
해커들이 배치한 아티팩트 중 하나는 XMRig 도구를 사용하는 암호화폐 채굴 활동이었습니다. 이 도구는 Monero (XMR) 암호화폐를 채굴하는 것을 목적으로 한 배경에서 작동했습니다.
연구진은 또한 advanced persistence mechanism을 사용하는 script를 발견했습니다. 이 script는 watchdog.sh라는 이름을 가지고 있었고, 삭제될 경우 다시 자신을 복원하고 GitHub에서 XMRig를 다시 다운로드하는 것을 목적으로 한 것이었습니다. 이 script는 또한 Dropbox 계정에서 추가 도구를 다운로드하고 AES-256 암호화를 사용하여 암호화했습니다. 이 script는 또한 다른 채굴기를 삭제하는 것을 목적으로 한 것이었습니다.
또한 연구진은 PHP 웹 셸인 filemanager.php를 배치한 것을 발견했습니다. 이 웹 셸은 파일 작업(읽기, 쓰기, 삭제, 다운로드, 업로드)과 명령어 실행을 지원했습니다. 이 웹 셸은 hardcoded 인증 정보를 포함하고 Europe/Minsk (UTC+3) 시간대를 설정하고 있었습니다. 이 시간대는 해커들의 기원에 대한 힌트가 될 수 있습니다.
Pentera의 연구진은 이 문제를 해결한 Cloudflare, F5, Palo Alto Networks와 같은 기업에 대해 이 문제를 해결한 것을 확인했
습니다. 연구진은 또한 이 문제를 해결하기 위한 권장 사항을 제시했습니다. 이 권장 사항은 클라우드 리소스의 완전한 인벤토리 관리, 비생산 환경과 생산 환경의 분리, 최소 권한 IAM 역할, 기본 인증 정보 변경, 임시 리소스의 자동 만료 등이 포함됩니다.