F5 연구소의 위협 연구원들이 IoT를 찾아 계속 노력하고 있습니다. 최신 보고서에서는 취약한 IoT 기기를 적극적으로 수색하는 것뿐만 아니라, 인프라를 노리는 것도 폭로했습니다.
F5 Labs 위협 연구원들은 주로 Telnet 및 SSH 액세스를 통해 IoT 기기에 대한 공격을 추적하는 과정에서 Jenkins 및 Vagrant를 포함한 빌드 인프라 시스템을 인수하려는 시도를 실수로 발견했습니다. 또한 Oracle, MySQL, PostGres, Hadoop 등의 데이터베이스 시스템과 모니터링 제공자 Nagios도 일반적인 대상인 것으로 보입니다.
무차별 대입 공격에 사용된 자격 증명은 "공격을 받은 상위 50개 관리자 자격 증명"에서 확인할 수 있으며, 여기에 앞서 언급한 모든 시스템이 눈에 띄게 표시됩니다.
이러한 공격은 SSH 및 Telnet(원격 액세스)에 집중되어 있다는 점에 유의해야 합니다. 이는 해당 시스템을 설치할 때 사용자가 정기적으로 생성하는 운영 체제를 통한 것입니다. 대부분은 Linux 기반 시스템에 배포되고 모범 사례에 따라 실행을 위한 중립화된 시스템 수준 사용자를 자동으로 생성합니다. 기본적으로 이러한 사용자에게는 비밀번호가 없습니다. 하지만 Vagrant에서 기본 박스를 만드는 방법에 대한 설명서에 나와 있듯이, 이러한 사용자에게는 종종 비밀번호와 로그인 권한이 제공됩니다.
이 사용자는 Vagrant가 SSH를 시도하기 위해 기본적으로 사용하는 안전하지 않은 키 쌍으로 설정되어야 합니다. 또한 Vagrant는 기본적으로 키 기반 인증을 사용하지만, "vagrant" 사용자의 비밀번호를 "vagrant"로 설정하는 것이 일반적입니다.
최근 F5 Labs 보고서에서 공격자가 시스템에 액세스하려고 시도할 때 사용하는 조합이 바로 "vagrant:vagrant"라는 점이 주목할 만합니다. 또한 흥미로운 점은 상위 50개 공격 자격 증명에 "배포/배포"가 포함되어 있다는 것입니다. Jenkins와 Vagrant에 대한 식별 가능한 빌드 인프라 자격 증명과 함께 이는 해당 시스템의 접근성과 해당 시스템이 제공하는 대상이 풍부한 환경에 대한 인식이 높아지고 있음을 나타냅니다. 분산된 시스템의 특성과 그 목적을 감안할 때, 빌드나 배포 시스템에 대한 액세스는 공격자에게 많은 기회를 제공합니다. Jenkins 사용자를 유인하면 표면적으로 소스 코드에 접근할 수 있으며, 이를 통해 다양한 악성 코드를 애플리케이션이나 시스템 내부에 삽입할 수 있는 엄청난 기회가 제공됩니다.
기업에 있어서 인프라 구축이 점점 더 중요해지고 있습니다. 즉, Jenkins 사용자의 90%가 Jenkins를 임무 수행에 매우 중요하다고 생각합니다 . 하지만 Jenkins에만 국한되는 것은 아닙니다. 자동화 프레임워크와 전반적인 빌드 인프라도 포함됩니다.
최신 애플리케이션 제공 현황 설문 조사에 따르면, 조직의 상당수가 자동화를 사용하여 변경 사항을 프로덕션에 적용하고 있습니다. 이는 Vagrant와 같은 시스템이 프로덕션 환경에서 활성화되어 있지만 반드시 격리되어 있는 것은 아니라는 것을 의미합니다.
주의가 필요하며, 빌드 인프라와 관련 시스템에서 사용하는 자격 증명을 신중하게 고려해야 합니다. 이러한 시스템의 목적을 감안할 때 자격 증명을 주의 깊게 관리하고 필요한 경우 외부 보안 서비스를 통한 원격 액세스를 제한(완전히 거부하지는 않더라도)하는 것이 무엇보다 중요합니다.
자동화가 프로덕션 환경에서 차지하는 비중이 커지면서, 기업 리더와 보안 전문가는 이러한 시스템이 손상될 경우 발생할 수 있는 위협을 염두에 두는 것이 필수적입니다. 저희 위협 연구원들이 밝혀낸 바에 따르면, 공격자들은 이미 빌드 및 자동화 시스템이 제공하는 풍부한 타깃을 알고 있으며 적극적으로 접근을 모색하고 있습니다.
안전하게 지내세요.