컨테이너 환경에서 탈출한 후 호스트에 접근할 수 있게 해 주는 위험한 취약점이 네 개나 발견됐다. 리키베슬이라는 통칭으로 불리는데, 사용자들의 즉각적인 버전 업이 요구된다.
[보안뉴스 문가용 기자] 컨테이너 엔진 요소들에서 네 개의 취약점이 새롭게 발견됐다. 현재 이 취약점들에 리키베슬(Leaky Vessels)라는 이름이 붙었다. 리키베슬 안에는 총 네 개의 취약점이 포함되어 있는데 중 세 개를 익스플로잇 하는 데 성공할 경우 공격자가 컨테이너 환경에서 벗어나 호스트 환경에서 악성 행위를 실시할 수 있게 된다고 한다.
[이미지 = gettyimagesbank]
가장 눈여겨봐야 할 취약점은 CVE-2024-21626인 것으로 정해지는 분위기다. runC라는 컨테이너 런타임에서 발견된 것으로, CVSS 기준 10점 만점에 8.6점을 받은 고위험군 취약점이다. 보안 업체 스나이크(Snyk)의 보안 연구원 로리 맥나마라(Rory McNamara)는 “컨테이너의 빌드타임과 런타임에 컨테이너를 탈출할 수 있게 해주는 오류”라고 설명하며 “공격자가 이를 통하여 컨테이너 기저에 있는 호스팅 OS에 접근하게 될 경우, 해당 호스트에 있는 거의 모든 자원에 접근할 수 있게 된다”고 경고한다.
“컨테이너를 사용해 애플리케이션을 구축하는 모든 사람들이 이 취약점에 노출되어 있다고 볼 수 있습니다. 모든 클라우드 기반, 클라우드 네이티브 개발자들이 잠재적 피해자가 될 수 있다는 것이죠. 도커나 큐버네티스 호스트 시스템 전체가 침해될 수 있습니다.”
리키베슬 오류
그 다음 경고의 대상이 된 세 가지 취약점은 빌드킷(BuildKit)에서 발견됐다. 다음과 같다.
1) CVE-2024-23651 : 런타임 동안 캐시 레이어가 마운팅 되는데, 그 방식에 따라 경합 조건이 발동되기도 한다.
2) CVE-2024-23653 : 빌드킷의 원격 절차 호출 프로토콜에 영향을 준다.
3) CVE-2024-23652 : 파일 삭제 관련 오류
스나이크는 자사 블로그 게시글을 통해 “도커와 큐버네티스, 클라우드 컨테이너 서비스, 오픈소스 커뮤니티 포함, 컨테이너 런타임 환경을 제공하는 모든 업체들은 업데이트를 확인해야 한다”고 강조했다. 그러면서 “정말로 많은 기업과 조직들이 이를 사용하고 있기 때문에 개발 행위를 하고 있다고 한다면 누구나 꼭 취약점 여부를 확인해야 한다”고 말하기도 했다.
CVE-2024-23651과 CVE-2024-23653은 빌드타임에서만 탈출을 가능하게 해 주는 취약점이고, CVE-2024-23652는 임의의 호스트 파일을 삭제할 수 있게 해 주는 취약점이라고 설명한 스나이크는 “제한적인 컨테이너 탈출 취약점의 일종”이라고 묘사한다. “따라서 이 역시도 반드시 패치를 해야 합니다.”
맥나마라는 “이번에 발견된 네 가지 취약점 모두 익스플로잇이 비교적 쉽다”며 “30행도 되지 않는 도커파일만 있으면 된다”고 설명한다. “다만 한 가지 제약 조건이 있는데, 공격을 감행하려면 높은 권한을 가지고 있어야 한다는 겁니다. 임의 컨테이너를 실행시키고, 임의 컨테이너를 구축하거나 업스트림 컨테이너를 침해해 둔 상태여야만 익스플로잇을 할 수 있습니다.”
점점 커지는 문제
컨테이너 환경에서 발견되는 취약점들은 점점 더 심각한 문제가 되고 있다. 작년 보안 업체 시스딕(Sysdig)에서 조사한 바에 의하면 현재 실제 생산에 관여되어 있는 컨테이너 이미지들 중 87%가 최소 한 개의 고위험군 취약점을 내포하고 있다고 한다. 지나치게 많은 비율인데 시스딕은 “클라우드 애플리케이션을 최대한 빠르게 출시하고자 하는 기업들이 제대로 된 검토 없이 컨테이너 기술과 이미지들을 도입하고 있기 때문에 생긴 결과”라고 분석한다.
2023년 또 다른 보안 업체 레질리온(Rezilion) 역시 도커 컨테이너 이미지 중 취약한 것을 수백~수천 개씩 찾아낼 수 있었다고 공개하며 “기존의 소프트웨어 분석 및 취약점 탐지 도구로는 찾을 수 없는 취약점들이 대부분이었다”고 말하기도 했다. 즉 새로운 취약점 탐지 및 해결 방법이 등장해야 할 필요가 있다는 것이었다.
3줄 요약
1. 컨테이너 환경에서 발견된 네 가지 취약점, ‘리키베슬.’
2. 취약점 익스플로잇에 성공하면 컨테이너를 탈출해 호스팅 서비스에 접근 가능.
3. 광범위하게 사용되는 컨테이너 런타임이 문제라서 빠른 패치 필요.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 컨테이너 엔진 요소들에서 네 개의 취약점이 새롭게 발견됐다. 현재 이 취약점들에 리키베슬(Leaky Vessels)라는 이름이 붙었다. 리키베슬 안에는 총 네 개의 취약점이 포함되어 있는데 중 세 개를 익스플로잇 하는 데 성공할 경우 공격자가 컨테이너 환경에서 벗어나 호스트 환경에서 악성 행위를 실시할 수 있게 된다고 한다.
[이미지 = gettyimagesbank]
가장 눈여겨봐야 할 취약점은 CVE-2024-21626인 것으로 정해지는 분위기다. runC라는 컨테이너 런타임에서 발견된 것으로, CVSS 기준 10점 만점에 8.6점을 받은 고위험군 취약점이다. 보안 업체 스나이크(Snyk)의 보안 연구원 로리 맥나마라(Rory McNamara)는 “컨테이너의 빌드타임과 런타임에 컨테이너를 탈출할 수 있게 해주는 오류”라고 설명하며 “공격자가 이를 통하여 컨테이너 기저에 있는 호스팅 OS에 접근하게 될 경우, 해당 호스트에 있는 거의 모든 자원에 접근할 수 있게 된다”고 경고한다.
“컨테이너를 사용해 애플리케이션을 구축하는 모든 사람들이 이 취약점에 노출되어 있다고 볼 수 있습니다. 모든 클라우드 기반, 클라우드 네이티브 개발자들이 잠재적 피해자가 될 수 있다는 것이죠. 도커나 큐버네티스 호스트 시스템 전체가 침해될 수 있습니다.”
리키베슬 오류
그 다음 경고의 대상이 된 세 가지 취약점은 빌드킷(BuildKit)에서 발견됐다. 다음과 같다.
1) CVE-2024-23651 : 런타임 동안 캐시 레이어가 마운팅 되는데, 그 방식에 따라 경합 조건이 발동되기도 한다.
2) CVE-2024-23653 : 빌드킷의 원격 절차 호출 프로토콜에 영향을 준다.
3) CVE-2024-23652 : 파일 삭제 관련 오류
스나이크는 자사 블로그 게시글을 통해 “도커와 큐버네티스, 클라우드 컨테이너 서비스, 오픈소스 커뮤니티 포함, 컨테이너 런타임 환경을 제공하는 모든 업체들은 업데이트를 확인해야 한다”고 강조했다. 그러면서 “정말로 많은 기업과 조직들이 이를 사용하고 있기 때문에 개발 행위를 하고 있다고 한다면 누구나 꼭 취약점 여부를 확인해야 한다”고 말하기도 했다.
CVE-2024-23651과 CVE-2024-23653은 빌드타임에서만 탈출을 가능하게 해 주는 취약점이고, CVE-2024-23652는 임의의 호스트 파일을 삭제할 수 있게 해 주는 취약점이라고 설명한 스나이크는 “제한적인 컨테이너 탈출 취약점의 일종”이라고 묘사한다. “따라서 이 역시도 반드시 패치를 해야 합니다.”
맥나마라는 “이번에 발견된 네 가지 취약점 모두 익스플로잇이 비교적 쉽다”며 “30행도 되지 않는 도커파일만 있으면 된다”고 설명한다. “다만 한 가지 제약 조건이 있는데, 공격을 감행하려면 높은 권한을 가지고 있어야 한다는 겁니다. 임의 컨테이너를 실행시키고, 임의 컨테이너를 구축하거나 업스트림 컨테이너를 침해해 둔 상태여야만 익스플로잇을 할 수 있습니다.”
점점 커지는 문제
컨테이너 환경에서 발견되는 취약점들은 점점 더 심각한 문제가 되고 있다. 작년 보안 업체 시스딕(Sysdig)에서 조사한 바에 의하면 현재 실제 생산에 관여되어 있는 컨테이너 이미지들 중 87%가 최소 한 개의 고위험군 취약점을 내포하고 있다고 한다. 지나치게 많은 비율인데 시스딕은 “클라우드 애플리케이션을 최대한 빠르게 출시하고자 하는 기업들이 제대로 된 검토 없이 컨테이너 기술과 이미지들을 도입하고 있기 때문에 생긴 결과”라고 분석한다.
2023년 또 다른 보안 업체 레질리온(Rezilion) 역시 도커 컨테이너 이미지 중 취약한 것을 수백~수천 개씩 찾아낼 수 있었다고 공개하며 “기존의 소프트웨어 분석 및 취약점 탐지 도구로는 찾을 수 없는 취약점들이 대부분이었다”고 말하기도 했다. 즉 새로운 취약점 탐지 및 해결 방법이 등장해야 할 필요가 있다는 것이었다.
3줄 요약
1. 컨테이너 환경에서 발견된 네 가지 취약점, ‘리키베슬.’
2. 취약점 익스플로잇에 성공하면 컨테이너를 탈출해 호스팅 서비스에 접근 가능.
3. 광범위하게 사용되는 컨테이너 런타임이 문제라서 빠른 패치 필요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
