Azure App Proxy의 사전 인증 우회 악용 사례 분석

Hackers Exploit Azure App Proxy Pre-Authentication to Access Private Networks

Hackers Exploit Azure App Proxy Pre-Authentication to Access Private Networks

 

• 개요
  • 공격자가 Microsoft Azure App Proxy의 Passthrough 모드를 악용해 사전 인증을 우회, 내부 네트워크 리소스에 무단 접근
  • 해당 공격은 내부 시스템이 Azure와 연결된 구조를 역이용하여 발생
  • MS Entra ID 인증을 생략하는 설정을 통해 공개되지 않은 내부 웹 경로까지 노출 가능
• Azure App Proxy 동작 원리
  • 프라이빗 네트워크 커넥터를 내부망에 설치하여 Azure와 아웃바운드 연결
  • 외부 사용자가 Proxy를 통해 사내 애플리케이션에 접근 가능
  • 사전 인증 설정은 Entra ID 인증 또는 Passthrough로 구분
• 사전 인증 설정별 보안 차이
  • Microsoft Entra ID
    기본 설정으로 모든 경로에 대해 강제 인증 절차 수행
    • 공개 경로도 내부 사용자 식별을 요구하므로 보안성 우수
  • Passthrough
    • 인증 없이 요청을 그대로 내부 애플리케이션에 전달
    • 마치 서버 포트를 인터넷에 직접 노출한 것과 동일한 보안 위험 발생
• 공격 시나리오
  • Passthrough 사용 URL에 대해 강제 탐색(Forced Browsing) 수행
  • VM 응답을 통해 예상치 못한 경로 및 파일 노출 가능
  • 기본 인증이 걸린 경로의 경우 Burp Suite Intruder 등으로 admin:admin 등 기본 계정 크리덴셜 브루트포싱
  • 인증 없이 내부 시스템 전체 접근 및 데이터 탈취, 추가 침투로 이어질 수 있음
• 위험 요소 요약
  • 사전 인증 설정의 부주의한 구성이 공격 지점으로 작용
  • 단일 공개 경로를 허용할 의도였으나, 서버 전체가 노출됨
  • 내부 서비스 오용 및 권한 없는 접근 가능성 대두
  • 보안 로그 분석이 어렵고, 공격 탐지가 지연될 수 있음
• 보안 권고
  • Passthrough 설정 금지 또는 최소화
    • 가능하면 모든 경로에 대해 Entra ID 인증 적용
  • 경로 기반 액세스 제어 및 ACL 적용
    • 고객 포털 등 공개 URL은 별도 인프라로 분리 권장
  • 강력한 인증 및 접근제어
    • HTTP Basic 인증 경로에는 복잡한 계정/비밀번호 및 MFA 적용
  • 정기적 구성 감사 및 보안 테스트
    • Azure App Proxy 구성 변경 시 마다 경로 노출 여부 점검
    • 침투 테스트를 통해 Passthrough 허용 범위 검증
• 결론
  • Azure App Proxy는 보안성을 높이는 수단이 될 수 있지만, 구성 오류 시 오히려 내부 노출 위험을 증가시킬 수 있음
  • Passthrough 옵션은 보안 예외로 취급되어야 하며, 제한적으로 사용하고 전수 검토 필요
  • 하이브리드 네트워크 보안을 위한 프록시 설정의 책임 있는 구성과 관리가 중요