이번 CIP 블로그에서는 Criminal IP를 활용하여 노출된 NGINX 설정 파일 을 탐색하는 방법을 알아보고자 한다.

NGINX 설정 파일 이란?

NGINX는 웹 서버의 종류 중 하나로 Apache와 함께 가장 많이 사용되는 서버이기도 하다. 특히나 현재 가장 트래픽이 많은 사이트인 넷플릭스나 드롭박스 등 열거하기도 힘들 정도로 많은 유명 사이트들이 NGINX를 이용하고 있다.  NGINX의 설정 파일은 NGINX 서버를 설정하는 형태에 대한 가이드가 적힌 파일로, 해당 서버에 대한 정보가 포함되어 있는데 여기에는 해킹의 단서가 될 민감한 정보가 포함되어 있을 수도 있다.

NGINX 웹 서버의 기본 설정 파일명은 “nginx.conf“이며 Asset Search에서 해당 키워드를 검색하여 설정 파일을 찾을 수 있다. 특히 “nginx.conf” 키워드에 “title: index of” 필터를 추가하여 검색하면, 아래 이미지처럼 디렉터리 인덱스 취약점이 있는 사이트에서 nginx.conf 파일을 찾을 수 있다.

“nginx.conf” title: “Index of “

Criminal IP의 Asset Search에 "nginx.conf" title: "Index of "를 검색한 결과
Criminal IP의 Asset Search에 “nginx.conf” title: “Index of “를 검색한 결과
디렉터리 인덱스 취약점이 있는 사이트에 노출된 nignx.conf 파일
디렉터리 인덱스 취약점이 있는 사이트에 노출된 nignx.conf 파일

NGINX 설정 파일 관리 도구 찾는 방법 

NGINX 설정 파일은 여러 방식으로도 검색이 가능한데, HTML Title 제목에 ‘Nginx UI’라는 문구가 포함된 사이트를 검색하면, 웹에서 NGINX 웹 서버의 여러가지 설정 파일을 관리할 수 있는 NGINX UI 페이지가 확인된다.

title: “Nginx UI”

Criminal IP의 Asset Search에 title: "Nginx UI"를 검색한 결과
Criminal IP의 Asset Search에 title: “Nginx UI”를 검색한 결과

이렇게 찾은 케이스의 경우 더욱 더 크리티컬한 사실은, 단순히 정보가 유출되는 것 뿐만 아니라 심지어 이 설정값을 변경하여 적용할 수도 있다는 점이다. 서브 메뉴 ‘Main Config’를 클릭하면 NGINX 웹 서버의 설정 파일(nginx.conf)을 확인하고, 설정 값을 변경할 수도 있다.

‘NGINX UI’로 표기된 사이트의 NGINX 웹 서버의 설정 파일
‘NGINX UI’로 표기된 사이트의 NGINX 웹 서버의 설정 파일

유명한 인터넷 서비스 회사를 포함하여 수많은 사람들이 NGINX 서버를 사용하고 있는 만큼, NGINX 서버는 늘 해커의 주요 타겟이 되고 있으며 실제로 노출된 취약점을 통해 공격당한 사례를 쉽게 찾아볼 수 있다.

따라서 관리하고 있는 NGINX 웹서버의 여러가지 설정파일들이 실수로 노출되어 있진 않은 지 점검하는 것은 가장 기본적이면서도 우선시되어야 하는 보안 수칙이다.

NGINX를 사용하여 구축된 웹 서버만 탐색하는 방법을 알고 싶다면, product 필터 활용법에 대해 소개하고 있는 Product filter 를 이용하여 공격표면에 노출된 어플리케이션 탐지 포스팅을 참고하면 된다.


데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글: