계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
AWS Terraform Misconfiguration: Insecure Supply Chain
Abstract
Terraform 구성이 신뢰할 수 없는 소스의 모듈을 사용합니다.
Explanation
신뢰할 수 없는 소프트웨어 공급망의 소프트웨어 모듈은 안전하지 않을 수 있습니다. 공격자는 적절하게 관리되지 않는 공급망의 약점을 악용하여 악성 코드를 삽입할 수 있습니다.
Terraform 모듈은 사전 빌드된 구성 파일 집합입니다. 모듈을 사용하면 클라우드 서비스를 더 쉽고 빠르게 실행할 수 있습니다. Terraform Registry, 로컬 디렉터리, 소스 리포지토리, 클라우드 스토리지를 비롯한 여러 소스에서 모듈을 제공합니다. 그러나 모든 소스 중 체계적이며 지속적으로 확인되는 소스는 Terraform Registry에 게시되는 모듈 중 극히 일부에 불과합니다. Terraform Registry에 게시되어 있는 확인된 모듈은 현재 유지 보수되고 있으며 호환성 테스트가 완료된 모듈입니다. 그러나 이러한 모듈이 반드시 안전하게 설계된 것은 아닙니다.
Terraform 모듈은 사전 빌드된 구성 파일 집합입니다. 모듈을 사용하면 클라우드 서비스를 더 쉽고 빠르게 실행할 수 있습니다. Terraform Registry, 로컬 디렉터리, 소스 리포지토리, 클라우드 스토리지를 비롯한 여러 소스에서 모듈을 제공합니다. 그러나 모든 소스 중 체계적이며 지속적으로 확인되는 소스는 Terraform Registry에 게시되는 모듈 중 극히 일부에 불과합니다. Terraform Registry에 게시되어 있는 확인된 모듈은 현재 유지 보수되고 있으며 호환성 테스트가 완료된 모듈입니다. 그러나 이러한 모듈이 반드시 안전하게 설계된 것은 아닙니다.
References
[1] Terraform Modules
[2] HashCorp Terraform Registry
[3] xssfox Supply Chain Attack as Code
[4] Standards Mapping - Common Weakness Enumeration CWE ID 829
[5] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001749, CCI-001764
[6] Standards Mapping - FIPS200 CM
[7] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 CM-5 Access Restrictions for Change (P1), CM-7 Least Functionality (P1), SA-12 Supply Chain Protection (P1)
[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 CM-7 Least Functionality, CM-14 Signed Components, SR-3 Supply Chain Controls and Processes
[10] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 10.2.3 Malicious Code Search (L3), 12.3.6 File Execution Requirements (L2 L3), 14.2.4 Dependency (L2 L3)
[12] Standards Mapping - OWASP Top 10 2017 A9 Using Components with Known Vulnerabilities
[13] Standards Mapping - OWASP Top 10 2021 A06 Vulnerable and Outdated Components
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[16] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[17] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management
[18] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management
[19] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services
[20] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001430 CAT II, APSC-DV-001480 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001430 CAT II, APSC-DV-001480 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001430 CAT II, APSC-DV-001480 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001430 CAT II, APSC-DV-001480 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-001430 CAT II, APSC-DV-001480 CAT II
desc.structural.hcl.aws_terraform_misconfiguration_insecure_supply_chain