경고: 정부, 은행 및 기술 회사의 비밀번호 및 키 파일 80,000개 이상이 온라인으로 유출되었습니다.

사이버 보안 회사 watchTowr은 인기 있는 온라인 포맷 도구, JSON 포맷터, CodeBeautify에서 의도치 않게 노출된 수많은 비밀번호, 액세스 키, 중요한 구성 파일을 발견했습니다. 

watchTowr Labs는 코드 포맷 및 검증에 사용되는 사이트에서 8만 개 이상의 파일이 포함된 데이터 세트를 수집했다고 밝혔습니다. 연구원들은 이 파일에서 사용자 이름, 비밀번호, 저장소 인증 키, Active Directorydent증명, 데이터베이스 연결 문자열, FTPdent증명, 클라우드 환경 액세스 키, LDAP 구성 세부 정보, 헬프데스크 API 키, 심지어 SSH 세션 기록까지 발견했습니다. 

블로그 글에서 "개발자들이 입력값을 빠르게 포맷하는 데 사용하는 플랫폼, 예를 들어 JSONFormatter나 CodeBeautify 같은 것들을 샅샅이 살펴봤습니다. 네, 맞습니다. 예상했던 대로 결과는 끔찍했습니다."라고 밝혔 게시한 습니다. 

JSONFormatter나 CodeBeautify와 같은 온라인 유틸리티는 데이터 형식을 꾸미거나 검증하는 데 사용되며, 개발자는 이러한 유틸리티에 코드 조각이나 구성 파일을 붙여넣어 형식 문제를 해결합니다. 하지만 연구원들에 따르면 많은 직원이 자신도 모르게 운영 시스템의 실시간 보안 정보가 담긴 파일 전체를 붙여넣고 있습니다.

JSON과 CodeBeautify는 정부, 은행 및 의료 기관의 데이터를 유출합니다.

보안 업체에 따르면 유출된 데이터 결함은 아직 GitHub 저장소, Postman 작업 공간, DockerHub 컨테이너를 포함한 세 가지 플랫폼에는 영향을 미치지 않았습니다. 그러나 JSONFormatter에서 5년 분, CodeBeautify에서 1년 분의 과거 데이터를 발견하여 총 5GB가 넘는 보강 및 주석 처리된 JSON 데이터를 발견했습니다. 

사이버 보안 그룹은 "이 도구의 인기가 너무 커서 이 도구를 만든 유일한 개발자가 상당한 영감을 받았습니다. 일반적으로 도구 홈페이지를 방문하면 500개 이상의 웹 요청이 매우 빠르게 발생하여 꽤 괜찮은 제휴 마케팅 수익을 창출할 것으로 추정됩니다."라고 설명했습니다.

watchTowr Labs는 국가 기반 시설, 정부 기관, 주요 금융 기관, 보험 회사, 기술 제공업체, 소매 회사, 항공 우주 기관, 통신, 병원, 대학, 여행사, 심지어 사이버 보안 업체와 같은 산업의 조직에서 개인 정보가 노출되었다고 밝혔습니다.

보안 연구원 제이크 노트는 블로그 게시물에 "이러한 도구는 매우 인기가 많아 'JSON 꾸미기' 및 '비밀을 붙여넣기 위한 최적의 장소'(아마도 검증되지 않았을 것임)와 같은 용어에 대한 검색 결과 상단에 나타나며, 기업 환경과 개인 프로젝트 모두에서 조직과 관리자가 사용합니다."라고 적었습니다.

watchTowr Labs는 노출된 파일에서 발견된 여러 범주의 민감한 데이터를 나열했습니다. 여기에는 Active Directorydent증명, 코드 저장소 인증 키, 데이터베이스 액세스 세부 정보, LDAP 구성 정보, 클라우드 환경 키, FTP 로그인dent증명, CI/CD 파이프라인 키, 개인 키, 민감한 매개변수가 포함된 전체 API 요청 및 응답이 포함됩니다.

조사관들은 또한 Jenkins 비밀, 사이버 보안 회사의 암호화된 구성 파일, 은행의 고객 확인 정보, Splunk 시스템에 연결된 주요 금융 거래소의 AWSdent증명을 언급했습니다. 

watchTowr: 악의적인 행위자들이 유출 정보를 수집하고 있습니다.

watchTowr Labs의 피해 분석에 따르면 유출된 키 중 상당수가 알려지지 않은 세력에 의해 수집 및 테스트되었습니다. 한 실험에서 연구원들은 가짜 AWS 악용하려 시도했습니다dent.

Knott는 "대부분 누군가가 이미 이를 악용하고 있기 때문이며, 이는 정말, 정말 어리석은 일입니다."라고 말하며, "더 많은 AI 기반 에이전트 플랫폼이 필요한 것이 아니라, 무작위 웹사이트에dent증명을 붙여넣는 중요 기관이 줄어들어야 합니다."라고 덧붙였습니다.

JSONFormatter와 CodeBeautify는 보안 결함이 발견된 9월에 저장 기능을 일시적으로 비활성화했습니다. JSONFormatter는 "기능 개선을 위해 노력하고 있다"고 밝혔고, CodeBeautify는 "향상된 NSFW(업무용으로 안전하지 않음) 콘텐츠 차단 조치"를 새롭게 구현하고 있다고 밝혔습니다. 

HashiCorp의 Vault Terraform Provider의 보안 문제

유출된 자격dent외에도, 샌프란시스코에 본사를 둔 IBM 기업 HashiCorp는 자사의 Vault Terraform Provider에서 공격자가 인증을 우회할 수 있는 취약점을 발견했습니다. 이 회사는 개발자, 기업 및 보안 기관에 클라우드 컴퓨팅 인프라 및 보안 서비스를 제공합니다.

소프트웨어 회사의 조사 결과 , Vault Terraform의 취약점은 LDAP 인증 방식의 안전하지 않은 기본 구성으로 인해 v4.2.0부터 v5.4.0 버전에 영향을 미칩니다.

이 문제는 공급자가 Vault의 LDAP 인증 백엔드를 구성할 때 "deny_null_bind" 매개변수가 true가 아닌 false로 설정되어 발생하는데, 이 매개변수는 Vault가 잘못된 비밀번호나 인증되지 않은 바인딩을 거부할지 여부를 결정합니다. 

연결된 LDAP 서버가 익명 바인딩을 허용하는 경우 공격자는 유효한dent증명 없이도 계정을 인증하고 액세스할 수 있습니다.