공격자, 내부에 숨겨진 서버 발견하고 이를 악용해 네트워크 침투 가능
전문가들 “F5 BIG-IP 사용하는 모든 조직이 가능한 한 빨리 쿠키 암호화 적용해야”
미국 사이버보안 및 인프라 보안국(CISA)이 해커들이 F5 BIG-IP의 로컬 트래픽 관리자(Local Traffic Manager, LTM) 모듈에서 생성된 암호화되지 않은 쿠키를 악용해 네트워크 내부의 장비를 탐색하고 있다는 경고를 발표했다. 이를 통해 공격자는 숨겨진 내부 장비를 찾아내고 이를 타겟으로 삼아 네트워크에 침투할 수 있는 취약점을 찾는 데 사용할 수 있다.
F5 BIG-IP는 애플리케이션 배포 및 트래픽 관리 도구로, 웹 애플리케이션의 로드 밸런싱과 보안을 제공하는 솔루션이다. 그 중에서도 LTM 모듈은 트래픽을 관리하고 로드 밸런싱을 통해 네트워크 트래픽을 여러 서버에 분산시킨다. 이러한 기능을 통해 사용자는 로드 밸런싱된 서버 자원을 최적화하고 고가용성을 보장할 수 있다.
LTM 모듈은 세션 일관성을 유지하기 위해 쿠키를 사용한다. 이를 통해 사용자가 동일한 백엔드 서버로 지속적으로 접속할 수 있도록 하며, 이는 로드 밸런싱 환경에서 매우 중요하다. 그러나 이 쿠키는 기본적으로 암호화되지 않은 상태로 설정되어 있어 공격자들에게 취약점을 제공할 수 있다.
CISA는 "사이버 위협 행위자들이 암호화되지 않은 F5 BIG-IP 쿠키를 활용해 내부 네트워크에 있는 다른 장비를 탐지하고 있다"고 경고했다. "악의적인 행위자가 이러한 쿠키에서 얻은 정보를 기반으로 네트워크 내의 추가 자원을 식별하거나 취약점을 찾아내 악용할 수 있다"고 덧붙였다.
F5 BIG-IP의 세션 유지 쿠키에는 내부 서버의 IP 주소, 포트 번호 및 로드 밸런싱 설정 등의 정보가 암호화되지 않은 상태로 포함되어 있다. 이를 통해 공격자는 내부에 숨겨진 서버를 발견하고 이를 악용해 네트워크를 침투할 수 있다.
F5는 11.5.0 버전부터 모든 쿠키를 암호화할 수 있는 'Required' 옵션을 제공했지만, 이 설정을 적용하지 않은 경우 여전히 보안 위험에 노출될 수 있다. 특히 암호화되지 않은 쿠키는 공격자가 네트워크 내에서 숨겨진 장비를 찾아내기 위해 악용될 수 있다.
수년간 보안 연구자들은 암호화되지 않은 쿠키가 어떻게 내부 서버를 식별하는 데 악용될 수 있는지에 대해 경고해 왔다. 실제로 해커들은 이러한 쿠키의 취약점을 이용해 숨겨진 서버를 찾아내고, 취약점을 탐색한 후 네트워크에 침투하는 경우가 많다.
CISA는 F5 BIG-IP 관리자가 쿠키 설정을 검토하고 암호화를 적용할 것을 권장했다. 특히 'Required' 설정을 사용하면 쿠키를 강력한 AES-192 암호화를 통해 보호할 수 있다. 또한 F5의 진단 도구인 BIG-IP iHealth를 활용해 설정 오류를 탐지하고 이를 개선할 수 있다고 설명했다.
전문가들은 F5 BIG-IP를 사용하는 모든 조직이 가능한 한 빨리 쿠키 암호화를 적용해야 한다고 강조했다. 특히 암호화되지 않은 쿠키를 그대로 두면 해커들에게 내부 네트워크에 대한 정보를 제공하는 셈이 된다. 네트워크 분할을 통해 중요한 시스템을 분리하는 것도 보안 강화에 필수적이다. 다중 인증(MFA)과 정기적인 취약점 패치도 네트워크 보안을 유지하는 데 중요한 요소로 언급된다.
-AIS 2024 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
!['이웃 살인' 도구 쓰였는데…도검류 '해외직구' 반입 시도 155% 급증 [폴리스라인]](https://newsimg.sedaily.com/2024/10/12/2DFJFTPHP9_9.jpg)