올해 초에는 Log4j, Pwnkit 등 클라우드 기반 기업에 영향을 미치는 인프라 수준의 취약점이 여러 개 발견되었습니다. 이러한 추세를 이어가는 것이 Linux 커널에서 발생하는 취약점인 더티 파이프(Dirty Pipe)입니다. 더티 파이프는 임의의 읽기 전용 파일에 있는 데이터를 덮어쓸 수 있게 하며, 이로 인해 루트 프로세스에 코드가 주입되어 권한이 확대될 수 있습니다.
악의적인 행위자가 더티 파이프를 이용해 인프라 수준에서 피해를 입힐 수 있다는 점을 고려하면 이는 많은 기업에 문제가 될 수 있습니다. 하지만 전체 환경에 대한 포괄적인 관점을 갖고 있다면 이러한 취약점이 발생하자마자 적절히 관리할 수 있습니다.
F5의 애플리케이션 전략 보고서 에 따르면 디지털 전환 노력을 수행하는 많은 조직은 핵심 비즈니스 애플리케이션을 "현대화"하는 데 집중하고 있습니다. 고객들이 이런 애플리케이션을 실행하기 위해 마이크로서비스 기반 인프라에 투자하는 경우가 점점 늘어나고 있습니다. 이는 더 뛰어난 민첩성과 혁신 속도와 같은 강력한 이점을 제공하기 때문입니다.
이러한 애플리케이션 현대화 추세에 따라 애플리케이션 보호에 대한 필요성도 커지고 있습니다. 지난달 F5는 F5 Distributed Cloud WAAP를 출시하여 이 문제를 해결했으며, Bot Defense나 Advanced WAF와 같이 애플리케이션 계층에서 보호할 수 있는 다양한 도구를 고객에게 제공했습니다. 이 솔루션을 사용하면 고객은 주요 비즈니스 애플리케이션에 액세스하여 조직에 영향을 미치는 공격을 차단할 수 있습니다.
Dirty Pipe(및 Pwnkit이나 Log4j와 같은 최근의 다른 익스플로잇)와 같은 취약점의 문제점은 Distributed Cloud WAAP와 같은 도구를 사용하여 악의적인 행위자가 애플리케이션 계층에 액세스하는 것을 차단하는 것만으로는 인프라 수준의 취약점이 노출된 경우 타겟형 공격에 충분하지 않다는 것입니다. 애플리케이션의 보안은 실행되는 클라우드 기반 인프라의 보안 수준에 따라 결정되므로 Dirty Pipe와 같은 익스플로잇을 방어하려면 고객은 인프라 자체를 보호해야 합니다. F5는 Threat Stack을 인수함으로써 이 기능을 제공할 수 있는 이상적인 위치에 있게 되었습니다.
Threat Stack은 클라우드 관리 콘솔, 호스트, 컨테이너, 오케스트레이션 등 클라우드 네이티브 인프라 스택의 모든 계층을 모니터링하여 공격자가 인프라에 액세스했다는 것을 나타내는 동작을 감지합니다. Threat Stack은 고객이 이 계층에 대한 위협을 해결하기 위해 적극적이고 신속하게 타겟팅된 조치를 취하는 데 필요한 관찰 기능을 제공합니다. F5와 결합하면 고객은 애플리케이션과 인프라 수준 모두에 대한 위협을 포괄적으로 파악하여 현대화된 애플리케이션을 보호할 수 있습니다.
특히 Dirty Pipe의 경우, Threat Stack 고객은 Oversight , Threat Stack의 24시간 365일 보안 운영 센터(SOC) 모니터링 및 전문 지식으로부터 즉각적인 이점을 얻었습니다. Log4j와 Pwnkit의 경우와 마찬가지로, 팀은 전체 고객 기반을 대상으로 Dirty Pipe에 대한 징후를 살펴보고 고객을 가장 잘 지원할 수 있는 방법을 파악하기 시작했습니다.
위협 사냥을 실행하고 전문적인 제3자 소스를 조사한 결과, Log4j와 마찬가지로 Threat Stack이 이 취약점에 특화된 사후 익스플로잇 활동을 감지한다는 것을 확인했습니다. Threat Stack의 기본 제공 규칙은 고객 환경 내에서 Dirty Pipe의 활동을 보여주는 모든 침해 지표를 관찰하고 경고하도록 설정되어 있습니다.
우리는 Log4j, Pwnkit 등과 마찬가지로 Dirty Pipe가 고객에게 어떤 영향을 미칠지 계속 추적하고 있습니다. 하지만 여기서 더 중요한 점은 공격이 인프라 수준에서만 발생할 수 있다는 점이며, 현대화된 애플리케이션을 안전하게 유지하려면 해당 공격을 파악할 필요가 있다는 것입니다. Threat Stack과 F5에서는 바로 이를 위해 최선을 다하고 있습니다.