메인 콘텐츠로 건너뛰기
블로그 안전 Linode 보안 다이제스트 2022년 10월 2-9

Linode Security Digest 2022년 10월 2-9일

리노드 시큐리티 다이제스트

이번 주 다이제스트에서는 다음에 대해 논의할 것입니다.

  • Rancher 클러스터 인수를 허용하는 일반 텍스트 자격 증명을 저장합니다.
  • 모드보안 WAF 우회;
  • BIND의 6 가지 취약점; 그리고
  • Akamai는 올해까지 매월 1,300만 개 이상의 도메인을 악성으로 신고했습니다.

Rancher 클러스터 인수를 허용하는 일반 텍스트 자격 증명을 저장합니다.

Rancher 는 사용자가 여러 공급자에 걸쳐 컨테이너 클러스터를 배포하고 실행할 수 있는 오픈 소스 Kubernetes 플랫폼입니다. 최근 버그 보고서에 따르면 암호와 같은 민감한 필드, API 키와 계정 토큰은 Kubernetes 객체에 일반 텍스트로 직접 저장되었으며 주어진 객체에 액세스 할 수있는 모든 사람이 사용할 수있었습니다. 이는 내부 보안 제어에 심각한 영향을 미칩니다. Rancher-소유 쿠버네티스 오브젝트. 리눅스 시스템 엔지니어 마르코 스튜어만(Marco Stuurman)은 다음과 같이 설명합니다.

"공격자는 클러스터에 대해 가능한 최소한의 권한만 필요했습니다. Rancher 관리. 예를 들어, 모니터링 로봇 사용자의 유일한 권한은 HTTP 요청을 프록시하는 것이 었습니다. Rancher 대상 클러스터에서 실행 중인 모니터링 인스턴스로."

다음은 이러한 문제를 해결하기 위해 공급업체에서 시행 중인 현재 권장 사항입니다.

  • 돌다 Rancher 서비스 계정 토큰; 목장주의 관리자가 스크립트를 제공했습니다.
  • 다운스트림에 대한 액세스 제한 Rancher 인스턴스. 
  • 다운스트림 클러스터에서 위반의 잠재적 징후를 확인합니다.
  • 유출되었을 수 있는 자격 증명을 변경합니다.

모드보안 WAF 우회

예외적, 치명적 및 높은 취약성을 포함한 13개의 새로운 발견이 웹 애플리케이션 방화벽(WAF)에 대한 OWASP ModSecurity 핵심 규칙 세트(CRS)의 최근 평가에서 발견되었습니다. 

결과 중 두 가지는 ModSecurity 권장 규칙 집합 규칙으로 인해 WAF와 백엔드 서버가 요청 콘텐츠를 다르게 해석하는 콘텐츠 유형 혼동을 기반으로 했습니다. 

이러한 취약점 중 하나는 WAF에서 XML 주석이 무시되는 방식을 구체적으로 사용했으며 XML 주석으로 구문 분석되어 WAF가 무시한 유효한 "x-www-form-urlencoded" 데이터를 삽입할 수 있었습니다.

또 다른 결과 집합은 공격자가 끊어진 악성 문자열을 삽입할 수 있는 "Content-Dispositions" 헤더를 사용하여 우회가 허용되는 "다중 파트/양식 데이터" 콘텐츠 형식을 기반으로 합니다.

CVE-2022-39955는 이 평가에서 나오는 취약성 중 하나의 또 다른 예입니다. "utf-7"을 추가 문자 집합으로 사용하고 본문을 인코딩하면 모호한 우회가 가능합니다.

이러한 취약점과 더 많은 것들이 수정되었습니다 ModSecurity 및 CRS에서 수행한 최신 패치에서.

BIND의 6가지 취약점

ISC(인터넷 시스템 컨소시엄)는 확인자 성능 저하, 버퍼 오버리드, 메모리 누수 및 예기치 않은 종료와 관련하여 BIND에서 릴리스되었습니다.

CVE-2022-2795는 이 결함을 악용하는 쿼리로 대상 확인자를 플러딩하는 취약성입니다. 권고는 해석기의 성능을 심각하게 저하시킬 수 있으며, 마찬가지로 DOS 공격을 초래할 수 있습니다.

CVE-2022-2881은 지정된 버퍼를 지나서 읽을 수 있는 기본 버그입니다. 이로 인해 읽지 않아야 하는 메모리를 읽거나 프로세스를 완전히 충돌시킬 수 있습니다.

CVE-2022-2906, CVE-2022-38177 및 CVE-2022-38178은 모두 메모리 누수와 관련이 있습니다. 이러한 메모리 누수는 잘못된 형식의 ECDSA 또는 EdDSA 서명 및 기타 결함으로 인해 발생하며, 이로 인해 실행 중인 프로세스가 필요한 것보다 더 많은 메모리를 차지하여 시스템에서 사용 가능한 메모리가 침식되고 리소스 부족으로 인해 프로세스가 충돌할 수 있습니다.

CVE-2022-3080은 공격자가 특정 쿼리를 보내 확인자 프로세스가 완전히 충돌하도록 허용하는 취약성입니다.

이러한 취약점은 안정적인 최신 버전의 BIND 9.18 및 9.16 릴리스에서 수정되었습니다.

1개월 동안 1,300만 개의 악성 도메인 신고

Akamai는 2022년 초부터 7,900만 개 이상의 도메인에 플래그를 지정했으며, 매월 약 1,300만 개의 도메인을 신고했습니다. 전체적으로이 숫자는 성공적으로 해결 된 모든 새 도메인의 20 % 이상을 나타냅니다.

이러한 검색은 NOD(새로 관찰된 도메인)라는 것을 기반으로 합니다. Akamai는 NOD를 60일 동안 해결되지 않은 도메인으로 결정합니다. 여기에는 새로 구입한 도메인 또는 새로 사용한 도메인만 포함될 수 있습니다. 유사한 탐지는 제한된 시스템인 도메인이 등록된 시기를 살펴보는데, 일부 악의적인 행위자는 도메인을 사용하기 위해 등록된 후 지정된 시간 동안 도메인에 앉아 해당 시스템을 회피할 수 있기 때문입니다. 마찬가지로 NOD를 모니터링하는 다른 조직은 Akamai와 같은 규모가 아닙니다. 그들은 30분에서 72시간의 시간 제한으로 모니터링하고 있으며 Akamai가 모니터링하는 60일과는 거리가 멀다. 

NOD는 그 자체로 완전히 유용하지는 않지만 다른 인텔리전스와 결합하면 도메인 및 활용 방법에 대한 방대한 통찰력을 제공 할 수 있습니다. NOD의 응용 프로그램은 피싱 및 신속한 위협 탐지와 같습니다. 그러나 이러한 NOD는 휴리스틱 분석과 같은 악의적인 활동 검색 목적으로 제한되지 않습니다. 

전반적으로 이러한 NOD는 위협 사냥뿐만 아니라 악의적인 행동을 파악하고 Akamai가 앞으로 나아갈 길을 닦기 위해 취하고 있는 현재 조치에 지속적으로 중요한 역할을 할 것으로 보입니다. 


내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *