[긴급] 쿠버네티스 이미지 빌더 치명적 취약점…공격자, 루트 권한 획득

쿠버네티스(Kubernetes) 이미지 빌더에서 치명적인 보안 취약점이 발견되어 전 세계 사이버 보안 커뮤니티가 큰 우려를 표하고 있다. 이 취약점은 CVE-2024-9486으로 공개됐고, 그 심각성을 나타내는 CVSS 점수는 9.8로 매우 높다. 만약 이 취약점이 악용될 경우 특정 조건에서 공격자가 루트 권한을 획득할 수 있는 위험이 있다. 이 문제는 쿠버네티스 클러스터에서 이미지 빌더 프로젝트를 사용해 Proxmox 프로바이더를 통해 생성된 가상 머신(VM) 이미지에만 영향을 미친다.

사이버 보안 전문가들과 레드햇(Red Hat)의 경고에 따르면, 이 취약점은 이미지 빌드 과정에서 기본 자격 증명이 사용되면서 발생했다. 이 기본 자격 증명은 Proxmox 프로바이더를 통해 생성된 가상 머신 이미지에서 비활성화되지 않아 결과적으로 해당 노드가 취약해진다. 공격자는 이러한 기본 자격 증명을 통해 노드에 접근하여 루트 권한을 얻을 수 있다.

이 취약점은 보안 연구원 니콜라이 리브니카르(Nicolai Rybnikar)에 의해 발견되었으며, 그는 이를 즉시 쿠버네티스 프로젝트 관리자에게 보고했다. 문제는 현재 쿠버네티스 이미지 빌더 0.1.38 버전에서 수정되었으며, 기본 자격 증명을 무작위로 생성된 비밀번호로 대체해 이미지 빌드 과정 동안만 사용하도록 개선되었다. 또한, 빌더 계정은 이미지 빌드 프로세스가 끝날 때 자동으로 비활성화되어 보안성이 강화되었다.

이 취약점은 쿠버네티스 클러스터 중 이미지 빌더 프로젝트와 Proxmox를 통해 생성된 VM 이미지를 사용하는 경우에만 영향을 미친다. 하지만 쿠버네티스는 전 세계적으로 기업 환경에서 널리 사용되고 있어, 패치되지 않은 경우 심각한 보안 위험을 초래할 수 있다.

임시 대응책으로는 영향을 받은 VM에서 빌더 계정을 비활성화할 것이 권장된다. 레드햇 및 다른 사이버 보안 업체들은 취약한 이미지를 패치된 이미지 빌더 버전으로 재구축하고, 이를 다시 배포할 것을 권장했다.

이번 쿠버네티스 취약점 발견은 널리 사용되는 오픈소스 플랫폼에서 최근 발견된 치명적인 보안 결함들과 함께 주목받고 있다. 마이크로소프트는 최근 Dataverse, Imagine Cup, Power Platform 서비스에 영향을 미치는 세 가지 치명적인 취약점(CVE-2024-38139, CVE-2024-38204, CVE-2024-38190)을 패치했다. 이 결함들은 잘못된 인증 및 접근 제어로 인해 공격자가 네트워크를 통해 권한을 상승시키거나 민감한 정보를 접근할 수 있는 위험을 초래했다.

또한, 인기 있는 오픈 소스 엔터프라이즈 검색 엔진인 아파치 솔라(Apache Solr)에서도 심각한 인증 우회 취약점(CVE-2024-45216, CVSS 점수: 9.8)이 발견되었다. 이 결함은 Solr API URL 경로에 '가짜 끝부분'을 추가하면 인증 과정을 우회할 수 있어, 사실상 인증 조치가 무용지물이 되는 문제를 야기한다. 해당 취약점은 솔라 8.11.4 및 9.7.0 버전에서 패치되었다.

사이버 보안 전문가들은 패치 적용이 필수적이지만, 다층적인 방어 전략을 채택해야 이러한 취약점의 위험을 효과적으로 완화할 수 있다고 강조했다. 레드햇의 보안 연구원 조엘 스미스(Joel Smith)는 “공격자들은 항상 취약점을 찾고 있다"며, "특히 쿠버네티스 클러스터와 같은 민감한 구성 요소에 대한 접근 제어가 철저히 강화되어야 한다"고 말했다.

전문가들은 또한 데브옵스(DevOps) 파이프라인에 보안을 통합하는 데브섹옵스(DevSecOps) 접근 방식을 권장하며, 개발 과정 초기에 취약점을 식별하고 해결할 필요가 있다고 조언했다. 쿠버네티스 관리자가 권장한 대로 취약한 이미지를 재구축하고 다시 배포하는 것이 핵심 단계지만, 기업은 인프라의 지속적인 감시와 감사를 수행해야 한다고 강조했다.

쿠버네티스 이미지 빌더 취약점을 감안할 때 보안 팀은 다음과 같은 조치를 취할 것을 권장했다:

-즉시 영향을 받은 VM의 빌더 계정을 비활성화할 것.

-패치된 이미지 빌더 버전(0.1.38)을 사용해 이미지를 재구축하고 노드에 다시 배포할 것.

-기본 자격 증명이나 약한 비밀번호를 사용하는지 시스템을 정기적으로 감사할 것.

-공격에 대비한 강력한 접근 제어 메커니즘을 구현할 것.

◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆

-인공지능 기반 보안기술과 보안위협 대응 정보 공유-

-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-

-일 시: 2024년 11월 5일(화) 09:00~17:00

-장 소: 더케이호텔서울 2층 가야금홀

-주 최: 데일리시큐

-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)

-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업

-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-참석자 사전등록: 클릭

(사전등록 필수, IT보안 관계자만 참석가능)

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★