dotenv Scan Vulnerability(.env)- (1)
한 사이트로 .env 스캔성 이벤트가 다수로 확인되었습니다.
IP 평판조회시 다수의 스캔성 이력들이 대부분 확인되었으나, 구글이나, MSFT, 아마존등의 IP로 확인되는 IP도 많아
명확한 공격성이 있는 것인지 알아볼 필요가 있을 것 같습니다.
.env 파일이 어떤것인지 먼저 알아볼 필요가 있을것 같네요.
우선 이파일은 리눅스에서의 어떤 한 패키지에서 참조하는 파일이라고 하네요.
바로 dotenv입니다.
개발단계에서 다른 회사의 AWS 주소나, 사용하는 API 키값등을 저장할 필요가 있으나, 코드에 해당 정보들이 바로 기입된다면 코드가 노출되었을 때 보안상 취약하므로 해당 값들을 .env 파일에 저장후 불러오는 식으로 사용한다고 합니다.
해서 dotenv 는 코딩에 사용시에 .env 파일에서의 저장되어있는 환경변수들을 process.env로 로드해주는 패키지라고 함.
개발에서 github 사용시에도 해당 파일은 gitignore에 등재해서 업로드 하지 못하도록 한다고 하네요.
중요 정보들이 포함되어 있으므로 설정도 보통 로컬에서만 설정한다고 합니다.
아쉽게도 Kali에서 해당 파일을 스캔하는 exploit은 확인되지 않았습니다.
출발지 IP가 대부분 AWS나 Google등의 사이트였던 점을 감안했을때, 해당 사이트들의 봇들에서의 크롤링형태의 이벤트로 추정됩니다.
외부에서 해당 파일을 참조할 일은 없을 것 같은데요.. 외부사용자에서의 .env 파일 확장자 접근은 차단할 필요가 있을 것 같네요. 내부에서 어떻게 해당 파일을 참조하는지는 .. 확인이 좀더 필요할 것 같습니다.
다음에는 dotenv를 구성한다음 어떤 방식으로 참조하는지 확인해보도록 하겠습니다..
우선 이번꺼는 여기까지...
참조
www.acunetix.com/vulnerabilities/web/dotenv-env-file/