Criminal IP (이하 CIP)에서 제공하는 Asset Search의 filter 중에서는 ssl_issuer_organization라는 것이 있다. 이 filter를 이용하면 https 등 SSL 프로토콜에서 어떤 기관의 인증서로 서명을 했는지 확인할 수 있다. 예를 들어 아래의 경우는 criminalip.io의 SSL 인증서를 살펴본 것인데 Verified by 가 Sectigo Limited(구 Comodo CA)로 표기되어 있으며 이는 곧 Comodo 인증서를 이용했다는 것을 알 수 있다.

이처럼 Sectigo로 서명된 인증서가 사용된 자산을 찾기 위해 Asset Search의 검색 화면에서 아래와 같이 입력해볼 수 있다. Sectigo는 유명한 인증 기관이므로 관련 IP 주소들이 수백만 개 이상 검색이 된다는 것을 확인할 수 있다.

ssl_issuer_organization:sectigo

공격표면에 노출된 원격관리 시스템

criminalip.io 의 SSL 인증서. Verified by가 Sectigo Limited로 표기되어있다.

공격표면에 노출된 원격관리 시스템

Criminal IP의 Asset Search에서 “sectigo” 인증서로 서명된 IP주소 검색

ssl_issuer_organization 필터로 노출된 원격관리 시스템 검색하는 방법

같은 원리로 이번에는 노출된 원격관리 시스템을 검색해 볼 수 있다. Red Hat Satellite는 물리적 환경부터 가상 및 클라우드 환경 전반에 걸쳐 시스템을 배포, 구성 및 유지 관리할 수 있는 시스템 관리 솔루션이다. 중앙 집중식 단일 도구를 사용하여 여러 Red Hat Enterprise Linux 배포에 대한 프로비저닝, 원격 관리 및 모니터링을 제공하는 매우 간편하고 편리한 원격관리 시스템이지만, 한편으로는 외부에서 원격으로 제어하는 것이 가능하여 공격표면에 노출되면 가장 심각한 문제를 초래하는 원격관리 시스템이기도 하다. Red Hat Satellite를 검색하기 위해서는 Katello라는 인증서 이름을 입력해 볼 수 있다. 

ssl_issuer_organization:Katello

 

공격표면에 노출된 원격관리 시스템

Criminal IP Asset Search의 ssl_issuer_organization:Katello 검색 결과

검색을 통해 https 443 포트에 반영된 SSL 인증서와, 해당 Issuer Organization이 Katello로 나타나는 것을 확인해 볼 수 있다. 브라우저를 띄워 해당 IP 주소로 접속해 보면 다음과 같은 Red Hat Satellite 원격관리 시스템이 등장한다.  이 곳에 공격자가 인증 대입 공격을 시도하여 시스템 안으로 침투하게 되면, 서버들에 대해 원격 명령을 내릴 수 있으므로 공격표면 관리 포인트에 발생한 아주 위험한 설정 오류라고 볼 수 있다. 

공격표면에 노출된 원격관리 시스템

Red Hat Satellite의 관리 시스템 화면

경우에 따라서 Red Hat Satellite 외에 아래와 같이 Foreman이 등장하기도 하는데, Foreman 역시 물리적 시스템 및 가상 시스템의 프로비저닝 및 수명 주기 관리에 사용되는 오픈 소스 응용 프로그램이며 Red Hat 계열과 함께 사용되는 프론트엔드 시스템이기도 하다. 이 역시 Red Hat Satellite처럼 공격표면에 위험하게 노출되어 있는 상태로 볼 수 있다.

공격표면에 노출된 원격관리 시스템

Red Hat 계열과 함께 사용되는 프론트엔드 시스템 Foreman의 관리자 화면

참고로 아래는 Katello로 사이닝한 인증서의 스크린 샷이다.

공격표면에 노출된 원격관리 시스템

Katello로 서명된 인증서의 스크린 샷

공격표면에 노출된 원격관리 시스템

Katello로 서명된 인증서의 스크린 샷


이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 베타 테스터 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. Criminal IP 무료 베타 서비스 안내

 

참고사이트 : ExploitWareLabs