MS 애저 앱 서비스, 보안 취약점 드러나…"이미 악용되었을 것"

2021.12.24 09:15:42 / 이상일 2401@ddaily.co.kr

관련기사
마이크로소프트, 한국 '애저' 가용영역(AZ) 개설
MS, 운영 네트워크 다운 …오피스365·빙·애저 모두 오류

[디지털데일리 이상일기자] 마이크로소프트의 클라우드 서비스 애저(Azure)의 보안 취약점이 드러났다. 

마이크로소프트 보안 대응 센터(Security Response Center, MSRC)는 클라우드 보안 공급업체인 ‘위즈(wiz)’로부터 고객이 의도치 않게 '.git' 폴더가 콘텐츠 루트에 생성되도록 구성해 정보 공개의 위험에 노출될 수 있는 문제에 대해 알려왔다고 밝혔다. 이에 MSRC는 “이로 인해 위험에 처했다고 생각하는 제한된 일부 고객에게 통지했으며 고객의 애플리케이션 보안을 위해 계속 협력할 것”이라고 밝혔다. 

위즈 연구팀은 이번 취약점이 ‘Local Git’을 사용해 배포된 PHP, 파이썬(Python), 루비(Ruby) 또는 노드(Node)로 작성된 고객 애플리케이션의 소스 코드를 노출하는 애저 앱 서비스 보안결함으로 ‘NotLegit’이라고 명명했다. 

로컬 Git을 사용해 애저 앱 서비스(Azure App Service)에 배포할 때 Git 리파지토리는 누구나 액세스할 수 있는 공개 액세스 가능한 디렉터리(home/site/wwwroot) 내에 생성됐다. 고객은 의도하지 않게 .git 폴더가 콘텐츠 루트에 생성되도록 구성할 수 있고 이로 인해 정보 공개의 위험이 있다. 애저 앱 서비스는 웹 응용 프로그램 및 웹 사이트를 호스팅하기 위한 클라우드 기반 플랫폼이다. 

위즈 연구팀은 이 취약점이 2017년 9월부터 존재했으며 "이미 악용되었을 것"이라고 밝히고 있다. 위즈는 2021년 10월 7일 마이크로소프트에 결과를 보고했으며 그 이후로 완화되었지만 소규모 고객 그룹이 여전히 잠재적으로 노출되어 있다고 전했다.

마이크로소프트는 심층 방어 수단으로 .git 폴더를 정적 콘텐츠로 제공하는 것을 허용하지 않도록 모든 PHP 이미지를 업데이트하는 한편 문제를 완화하는 방법에 대한 특정 지침과 함께 현재 위치 배포 활성화로 인해 영향을 받은 고객에게 내용을 알렸다. 

또한 소스 코드 보안에 대한 추가 섹션으로 보안 권장 사항 문서를 업데이트하고 내부 배포에 대한 설명서를 업데이트했다는 설명이다.


네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
삼성전자, ‘더 프리스타일’ 시판…출고가 1… 삼성전자, ‘더 프리스타일’ 시판…출고가 1…
  • 삼성전자, ‘더 프리스타일’ 시판…출고가 1…
  • LG전자, “‘씽큐’ 체험해보세요”
  • LG전자, 2022년 에어컨 경쟁 ‘점화’
  • 삼성전자, ‘갤럭시 언팩’ 9일 개최…‘갤럭…