사이버보안 연구원들은 공격자가 허가되지 않은 방식으로 다른 서비스와 민감한 데이터에 액세스할 수 있는 Google Cloud Platform의 Cloud Functions 서비스에 영향을 미치는 권한 상승 취약점을 공개했습니다.
Tenable은 이 취약점에 ConfusedFunction이라는 이름을 붙였습니다.
노출 관리 회사는 성명을 통해 “공격자는 기본 Cloud Build 서비스 계정으로 권한을 확대하여 Cloud Build, 스토리지(다른 기능의 소스 코드 포함), 아티팩트 레지스트리, 컨테이너 레지스트리 등 수많은 서비스에 액세스할 수 있습니다.”라고 밝혔습니다.
“이러한 접근을 통해 피해자의 프로젝트에서 측면 이동과 권한 상승이 가능해져 승인되지 않은 데이터에 접근하고 심지어 이를 업데이트하거나 삭제할 수도 있습니다.”
Cloud Functions는 개발자가 서버를 관리하거나 프레임워크를 업데이트할 필요 없이 특정 클라우드 이벤트에 대한 응답으로 트리거되는 단일 용도의 함수를 만들 수 있는 서버리스 실행 환경을 말합니다.
Tenable이 발견한 문제는 Cloud Function이 생성되거나 업데이트될 때 기본적으로 Cloud Build 서비스 계정이 백그라운드에서 생성되어 Cloud Build 인스턴스에 연결된다는 사실과 관련이 있습니다.
이 서비스 계정은 과도한 권한으로 인해 잠재적으로 악의적인 활동의 가능성을 열어두고, 클라우드 함수를 만들거나 업데이트할 수 있는 액세스 권한을 가진 공격자가 이 허점을 악용해 자신의 권한을 서비스 계정으로 확대할 수 있습니다.
그런 다음 이 권한을 남용하여 Cloud Storage, Artifact Registry, Container Registry를 포함하여 Cloud Function과 함께 생성된 다른 Google Cloud 서비스에 액세스할 수 있습니다. 가상 공격 시나리오에서 ConfusedFunction은 웹훅을 통해 Cloud Build 서비스 계정 토큰을 유출하는 데 악용될 수 있습니다.
책임 있는 공개에 따라 Google은 Cloud Build가 오용을 방지하기 위해 Compute Engine 기본 서비스 계정을 사용하도록 기본 동작을 업데이트했습니다. 그러나 이러한 변경 사항은 기존 인스턴스에는 적용되지 않는다는 점에 유의해야 합니다.
Tenable 연구원인 Liv Matan은 “ConfusedFunction 취약점은 클라우드 공급업체의 서비스에서 소프트웨어 복잡성과 서비스 간 통신으로 인해 발생할 수 있는 문제 시나리오를 잘 보여줍니다.”라고 말했습니다.
“GCP 수정으로 향후 배포에 대한 문제의 심각성이 줄어들었지만 완전히 제거되지는 않았습니다. 그 이유는 Cloud Function을 배포하면 여전히 앞서 언급한 GCP 서비스가 생성되기 때문입니다. 결과적으로 사용자는 여전히 함수 배포의 일부로 Cloud Build 서비스 계정에 최소한의 권한을 할당해야 하지만 비교적 광범위한 권한을 할당해야 합니다.”
Outpost24에서는 Oracle Integration Cloud Platform에 중간 심각도의 크로스 사이트 스크립팅(XSS) 결함이 있으며, 이 결함을 악용해 애플리케이션에 악성 코드를 주입할 수 있다고 자세히 설명했습니다.
이 결함은 “consumer_url” 매개변수 처리 방식에서 비롯되는데, Oracle은 이번 달 초에 출시한 Critical Patch Update(CPU)에서 이를 해결했습니다.
“새로운 통합을 만드는 페이지는 https://.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url=에서 찾을 수 있습니다.
“이것은 공격자가 특정 통합 플랫폼의 인스턴스 ID만 식별하면 플랫폼의 모든 사용자에게 기능적 페이로드를 보낼 수 있다는 것을 의미합니다. 결과적으로 공격자는 일반적으로 로그인한 사용자만 액세스할 수 있는 특정 통합 ID를 알아야 하는 요구 사항을 우회할 수 있습니다.”
또한 Assetnote는 ServiceNow 클라우드 컴퓨팅 플랫폼에서 세 가지 보안 취약점(CVE-2024-4879, CVE-2024-5178, CVE-2024-5217)을 발견했는데, 이러한 취약점을 악용하여 Now Platform 내에서 전체 데이터베이스에 접근하고 임의의 코드를 실행할 수 있는 익스플로잇 체인을 구축할 수 있다는 사실도 발견했습니다.
ServiceNow의 취약점은 그 이후로 알려지지 않은 위협 행위자에 의해 적극적으로 악용되고 있습니다. 이는 취약한 인스턴스에서 사용자 목록과 계정 자격 증명과 같은 데이터베이스 세부 정보를 수집하도록 설계된 “글로벌 정찰 캠페인”의 일부입니다.
Resecurity는 에너지, 데이터 센터, 소프트웨어 개발, 중동의 정부 기관 등 다양한 산업 분야의 회사를 표적으로 삼는 이 활동이 “사이버 간첩 활동과 추가 타겟팅”에 활용될 수 있다고 밝혔습니다.
(이 기사는 ServiceNow 결함의 활발한 악용에 대한 세부 정보를 포함하도록 발행 후 업데이트되었습니다.)
