인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

Azure의 심각한 취약성: 잘못 구성된 역할 및 VPN 키 유출

2025-07-02
Azure의 심각한 취약성: 잘못 구성된 역할 및 VPN 키 유출

보안 연구원들은 과도한 권한을 부여하는 잘못 구성된 Azure 기본 제공 역할을 여러 개 발견했습니다. Azure API의 VPN 키 유출 취약성과 결합되어 권한이 없는 사용자가 내부 클라우드 자산 및 온프레미스 네트워크에 액세스할 수 있는 공격 체인이 생성됩니다. 이 연구는 발견 프로세스, 영향 및 완화 전략에 대한 세부 정보를 제공합니다. 10개의 기본 제공 역할에서 과도한 권한이 있는 것으로 나타났으며, VPN 키 유출 취약성은 Microsoft에서 수정했습니다. 권장 사항으로는 문제가 있는 역할 감사, 제한된 범위 사용 및 세분화된 권한을 가진 사용자 지정 역할 생성 등이 있습니다.

더 보기
(www.token.security)
기술 VPN 키 유출

AWS 도구의 심각한 취약성: 권한 상승 위험

2025-05-05
AWS 도구의 심각한 취약성: 권한 상승 위험

보안 회사 Token Security는 AWS의 Account Assessment 도구에 심각한 취약성이 있음을 발견했습니다. 이 도구는 계정 간 액세스를 감사하는 것을 목적으로 하지만, 배포 지침은 의도치 않게 보안 수준이 낮은 계정(개발 환경 등)에 허브 역할을 배포하도록 유도하여 안전하지 않은 환경에서 고도로 민감한 환경(프로덕션 환경 등)으로 이어지는 위험한 신뢰 경로를 생성했습니다. 이로 인해 권한이 상승될 수 있으며, 공격자는 AWS 조직 전체를 제어할 수 있습니다. AWS는 2025년 1월 28일에 이 문제를 해결하고 관리 계정과 동등한 수준의 보안을 갖춘 계정에 허브 역할을 배포할 것을 권장하는 내용으로 문서를 업데이트했습니다. 영향을 받은 조직은 배포를 확인하고 필요에 따라 수정해야 합니다.

더 보기
(www.token.security)
기술 계정 간 액세스

IaC 생성 비인간 ID 소유권 추적

2025-04-09
IaC 생성 비인간 ID 소유권 추적

IaC(Infrastructure as Code) 도구를 사용하면 클라우드 환경에서 수많은 비인간 ID(NHI)를 빠르게 생성할 수 있습니다. 하지만 이러한 IaC 생성 NHI의 소유자를 추적하는 것은 상당한 어려움을 안겨줍니다. 이 블로그 게시글에서는 태그 기반 접근 방식을 살펴보고, Terraform 코드에 태그를 추가하여 리소스 생성에 관여하는 파일을 추적하여 NHI 소유자를 식별합니다. 이 접근 방식은 태그 상속 및 크로스 플랫폼 호환성과 같은 실질적인 문제에 직면하지만, IaC 생성 NHI 소유권 문제에 대한 잠재적인 해결책을 제공하고 DevOps 팀이 IaC ID를 더 잘 추적 및 관리하는 데 도움이 됩니다.

더 보기
(www.token.security)
개발