Cloudwatch 로그 모니터링 중 해외 IP 에서 지속적으로 API 요청이 발생되는 것을 확인하였습니다.
method=POST,uri=/tmUnblock.cgi;headers=[x-forwarded-for:\"76.11.185.195\", x-forwarded-proto:\"http\", x-forwarded-port:\"8080\", host:\"188.166.41.194:8080\", x-amzn-trace-id:\"Root=1-6650b966-28acee7e6d0a6f6d77d36a8d\", content-length:\"227\", accept-encoding:\"gzip, deflate\", accept:\"/\", user-agent:\"r00ts3c-owned-you\", Content-Type:\"application/x-www-form-urlencoded;charset=ISO-8859-1\"
해당 로그를 분석해보니 LinkSys 라우터 모델 및 펌웨어 버전을 식별하기 위한 요청 건으로
불특정 다수에 무작위로 원격 명령 실행 취약점 장비 스캐닝 시도로 확인되었습니다.
관련된 URI는 아래와 같습니다.
uri=/tmUnblock.cgi; /tmBlock.cgi, /hndBlock.cgi, /hndUnblock.cgi
VPN 업체에서 제공하는 서비스를 통해 IP 위치를 추적해보니 네덜란드로로 조회되네요…
AWS Private Subnet 에서는 해당 취약점이 발생되지 않기 때문에 AWS 파트너사 자문 이후 오류는 무시하였습니다.
제가 속해있는 부서에 보안 담당자가 없는데 온프레미스(On-promise) 로 서비스를 구성했다면..
생각만 해도 끔찍합니다. ㅠㅠ
읽어주셔서 감사합니다.
레퍼런스
반응형
최근댓글