클라우드뉴스

MS 애저 앱 서비스, 보안 취약점 드러나…"이미 악용되었을 것"

디지털데일리 발행일 2021-12-24 09:15:42
이상일
[디지털데일리 이상일기자] 마이크로소프트의 클라우드 서비스 애저(Azure)의 보안 취약점이 드러났다.

마이크로소프트 보안 대응 센터(Security Response Center, MSRC)는 클라우드 보안 공급업체인 ‘위즈(wiz)’로부터 고객이 의도치 않게 '.git' 폴더가 콘텐츠 루트에 생성되도록 구성해 정보 공개의 위험에 노출될 수 있는 문제에 대해 알려왔다고 밝혔다. 이에 MSRC는 “이로 인해 위험에 처했다고 생각하는 제한된 일부 고객에게 통지했으며 고객의 애플리케이션 보안을 위해 계속 협력할 것”이라고 밝혔다.

위즈 연구팀은 이번 취약점이 ‘Local Git’을 사용해 배포된 PHP, 파이썬(Python), 루비(Ruby) 또는 노드(Node)로 작성된 고객 애플리케이션의 소스 코드를 노출하는 애저 앱 서비스 보안결함으로 ‘NotLegit’이라고 명명했다.

로컬 Git을 사용해 애저 앱 서비스(Azure App Service)에 배포할 때 Git 리파지토리는 누구나 액세스할 수 있는 공개 액세스 가능한 디렉터리(home/site/wwwroot) 내에 생성됐다. 고객은 의도하지 않게 .git 폴더가 콘텐츠 루트에 생성되도록 구성할 수 있고 이로 인해 정보 공개의 위험이 있다. 애저 앱 서비스는 웹 응용 프로그램 및 웹 사이트를 호스팅하기 위한 클라우드 기반 플랫폼이다.

위즈 연구팀은 이 취약점이 2017년 9월부터 존재했으며 "이미 악용되었을 것"이라고 밝히고 있다. 위즈는 2021년 10월 7일 마이크로소프트에 결과를 보고했으며 그 이후로 완화되었지만 소규모 고객 그룹이 여전히 잠재적으로 노출되어 있다고 전했다.

마이크로소프트는 심층 방어 수단으로 .git 폴더를 정적 콘텐츠로 제공하는 것을 허용하지 않도록 모든 PHP 이미지를 업데이트하는 한편 문제를 완화하는 방법에 대한 특정 지침과 함께 현재 위치 배포 활성화로 인해 영향을 받은 고객에게 내용을 알렸다.

또한 소스 코드 보안에 대한 추가 섹션으로 보안 권장 사항 문서를 업데이트하고 내부 배포에 대한 설명서를 업데이트했다는 설명이다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스