MS의 주요 서비스 4개에서 발견된 취약점...서버 요청 조작해 자원에 접근

요약 : 보안 외신 해커뉴스에 의하면 네 개의 MS 애저 서비스들에서 SSRF 취약점이 발견됐다고 한다. 이 취약점을 익스플로잇 할 경우 인증을 거치지 않고도 클라우드 자원에 접근할 수 있게 된다. 2022년 8월~12월 사이에 보안 업체 오카(Orca)가 발견해 제보했고, 현재는 MS가 전부 패치를 마친 상태다. 문제의 서비스들은 Azure API Management, Azure Functions, Azure Machine Learning, Azure Digital Twins이다.


배경 : SSRF 취약점은 ‘서버 사이드 요청 조작(Server Side Request Forgery)’이라는 말의 준말이다. 공격자가 서버로 들어가는 요청을 조작함으로써 제한된 내부 자원을 원치 않는 자에게 노출시키는 결과를 낳는다.

말말말 : “이번에 발견된 취약점들은 저희 오카 측에서 별 다른 노력 없이 찾아냈다는 데에 그 심각성이 있습니다. 저희 전에 누군가 찾아내 공격에 활용했을 가능성이 아예 없다고 말하기가 어렵습니다.” -오카-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>