posted by 알짜 정보 岳岩 2019.08.19 07:13

CVE-2019-11247, 엉뚱한 커스텀 리소스에 접근할 수 있게 해줘
CVE-2019-11249, 클라이언트 컴퓨터에서 파일을 생성하거나 교체 가능케 해


[보안뉴스 문가용 기자] 컨테이너 오케스트레이션 시스템인 큐버네티스(Kubernetes)에서 발견된 취약점의 패치가 발표됐다. 이 취약점을 패치하지 않을 경우 누군가 사용자가 저장해 둔 자원들을 읽고 편집하고 삭제할 수 있게 된다고 한다.

[이미지 = iclickart]


이 취약점은 CVE-2019-11247로, 한 API 서버가 잘못된 커스텀 리소스에 접근할 수 있도록 해주기 때문에 발생하는 것이다. 특히 리소스가 명칭 공간으로 분류가 되어 있는 것처럼 요청이 전송될 때, 요청자는 클러스터에 있는 커스텀 리소스에 접근할 수 있게 된다는 것이 문제다.

큐버네티스의 조엘 스미스(Joel Smith)는 “이런 방식으로 접근에 성공하게 된 리소스는 명칭 공간 내에서 역할(role)과 역할 지정(role binding)에 종속될 수 있게 된다”고 설명한다. “이 취약점 때문에 한 가지 명칭 공간에만 접근할 수 있는 사용자가 클러스터 전체에 있는 리소스를 생성, 열람, 업데이트, 삭제할 수 있게 됩니다.”

보안 업체 스택록스(StackRox)에 의하면 커스텀 리소스 정의(custom resource definition, CRD)를 사용하지 않는 클러스터들은 이 취약점의 영향을 받지 않는다. 하지만 사실상 CRD를 사용하지 않는 큐버네티스 프로젝트가 거의 없기 때문에 꽤나 많은 사용자들이 이 취약점에 대한 패치를 이뤄야 할 것이라고 한다.

“큐버네티스에서 제공하는 RBAC를 사용하지 않는 클라스터의 경우도 이번 취약점의 영향을 받지 않습니다. 그러나 큐버네티스 RBAC를 사용하지 않을 때 발생하는 위험성 자체는 CVE-2019-11247 취약점보다 높습니다.”

스택록스는 “CVE-2019-11247 취약점 자체의 등급은 ‘중간급’으로, 굉장히 시급한 조치가 필요하지는 않은 것처럼 보일지 모르지만, 커스텀 리소스가 어떤 기능이나 애플리케이션 혹은 클러스터와 관련이 있는지에 따라 큰 위험으로 발전할 가능성이 있다”고 설명을 덧붙이기도 했다.

큐버네티스에서는 또 다른 취약점이 발견되기도 했다. CVE-2019-11249로, 이전에 발견된 두 가지 취약점에 대한 패치가 불완전해서 생긴 문제다. 이 두 가지 취약점은 CVE-2019-1002101과 CVE-2019-11246이다. 

큐버네티스의 스미스는 “CVE-2019-11249 취약점의 경우, 악성 컨테이너가 클라이언트 컴퓨터에서 파일을 생성하거나 교체할 수 있도록 해주는 것”이라고 설명하며, “클라이언트가 kubectl cp와 관련된 기능을 사용할 때 발동한다”고 말한다. “익스플로잇 하려면 클라이언트 단에서 사용자가 특정 행위를 해야만 합니다.”

큐버네티스는 사용자들이 이 두 가지 취약점에 대한 패치를 모두 진행해야 한다고 권고한다. 업그레이드를 했을 경우 큐버네티스 버전은 1.13.9, 1.14.5, 1.15.2 버전이 된다. 보안뉴스

3줄 요약
1. 큐버네티스에서 두 가지 취약점 발견됨.
2. 하나는 엉뚱한 커스텀 리소스에 접근할 수 있게 해주는 것, 다른 하나는 클라이언트 컴퓨터에서 파일 생성 및 덮어쓰기를 가능케 해주는 것.
3. 패치를 완료했을 때 1.13.9, 1.14.5, 1.15.2 버전이 되어야 함.