중대한 쿠버네티스 취약점: 최신 정보 유지
끊임없이 변화하는 사이버 보안 환경에서는 특히 Kubernetes와 같이 복잡하고 자주 사용되는 시스템의 경우 경계를 늦추지 않는 것이 중요합니다. 세 가지의 심각도가 높은 보안 결함이 발견되어 Kubernetes 환경에 상당한 위협이 되고 있습니다.. 이 쿠버네티스 취약점 은 주로 쿠버네티스 클러스터 내의 윈도우 엔드포인트에 영향을 미치지만, 잠재적인 파급 효과는 윈도우 시스템 이상으로 확장되어 중요성 강력한 크로스 플랫폼 안전 조치의 중요성을 강조합니다..
CVE 트리오: CVE-2023-3676, CVE-2023-3893, CVE-2023-3955
이 세 가지 취약점의 이 세 가지 취약점(CVE-2023-3676, CVE-2023-3893, CVE-2023-3955)에 대한 CVSS 점수는 8.8점입니다.. 이 취약점들은 쿠버네티스 클러스터 내에서 상승된 권한으로 원격 코드를 실행할 수 있는 기능을 가지고 있습니다. 중요한 것은 이러한 결함이 Windows 노드와 관련된 모든 Kubernetes 시스템에 영향을 미친다는 것입니다.
아카마이는 책임감 있게 다음과 같은 쿠버네티스 보안 위험 에 2023년 7월 13일를 공개하여 Kubernetes 커뮤니티의 빠른 대응을 촉발했습니다. 2023년 8월 23일에는 오픈 소스 소프트웨어 분야의 협업 노력의 중요성을 강조하는 수정 사항이 발표되었습니다.
쿠버네티스 취약점 풀기 쿠버네티스 취약점
이 취약점은 쿠버네티스에서 컨테이너 런타임 보안을 관리하기 위해 널리 사용되는 구성 언어인 YAML 파일 조작과 관련이 있다. 컨테이너 런타임 보안 의 컨테이너 런타임 보안을 관리하기 위해 널리 사용되는 구성 언어이다. 이러한 결함을 악용할 수 있는 가능성은 YAML 파일과 Kubernetes 엔진의 직접 연결로 인해 발생합니다.
특히, YAML 구문 분석 취약점 은 이미 쿠버네티스 보안 업데이트에서 쿠버네티스 보안 업데이트. 예를 들어, CVE-2022-1471은 SnakeYaml 구문 분석기에서 원격 코드 실행 취약점을 발견하여 Kubernetes Java 클라이언트에 영향을 미쳤습니다. 또한 CVE-2021-25749는 철자가 틀린 사용자 이름을 YAML 파일에 포함할 수 있도록 허용하여 루트로 워크로드를 실행할 수 있게 했습니다.
서브패스 서브프로퍼티 사가
오늘 이야기하는 취약점은 이전에 YAML 파일의 "subPath" 하위 속성에 대한 우려에서 비롯된 것입니다. "볼륨" 속성을 사용하면 컨테이너 내부의 호스트 시스템에서 디렉터리를 마운트할 수 있으며, 이는 Kubernetes 에코시스템에서 일반적으로 사용되는 기능입니다. 이 기능에는 수많은 하위 프로퍼티가 있으며, "subPath"도 그 중 하나이다. "subPath"가 YAML 파일에 지정되면, 이 파일은 중요한 Kubernetes 서비스인 kubelet에 의해 처리됩니다.
파워셸의 복잡성
이러한 결함의 근원은 쿠버네티스가 "subPath" 문자열을 처리하는 방식에 있다. 처리하는 동안, kubelet은 심볼릭 링크인지 여부를 결정한다. 반면에 이 보호는 "exec.Command" 함수 호출에 의해 호출되는 PowerShell 명령을 통해 구현됩니다. 이렇게 하면 공격자가 "subPath" 문자열에 PowerShell 코드를 첨부하여 실행할 수 있는 문이 열립니다.
사용하기 전에 문자열 내의 값을 평가하는 PowerShell의 기능을 통해 공격자는 악성 명령을 쉽게 도입할 수 있습니다. 예를 들어, 공격자는 "$(Start-Process cmd)"가 포함된 "subPath"가 있는 YAML 파일을 제공할 수 있습니다. 경로 유효성 검사 중에 kubelet은 이 명령을 PowerShell로 보내며, 이 명령은 kubelet 서비스의 권한, 특히 SYSTEM 수준으로 수행됩니다.
CVE-2023-3676의 범위 확장
이 논쟁을 뒷받침하는 취약점, CVE-2023-3676는 쿠버네티스 1.28에서 해결되었다. 쿠버네티스 취약점 쿠버네티스 취약점 평가에서 두 가지 명령어 인젝션 취약점이 추가로 발견되었습니다: CVE-2023-3955와 CVE-2023-3893. 이러한 취약점은 주로 윈도우의 쿠버네티스 기본 설정에 영향을 미치지만
기본 설정에 영향을 미치지만, 공격자는 여전히 노드에 대한 애플리케이션 권한을 획득해야 한다는 점을 기억하는 것이 중요합니다.
쿠버네티스 익스플로잇 방지
이러한 취약점을 해결하려면 사전 예방적 조치가 필요합니다. 쿠버네티스를 위한 Kubernetes용데브섹옵스 는 사용자 입력 기반 매개변수에서 환경 변수로 전환하여 이러한 종류의 결함을 해결하기로 결정했습니다. 이렇게 변경하면 매개변수가 문자열로만 처리되어 PowerShell 표현식으로 평가되는 것을 방지할 수 있습니다.
다음과 같은 맥락에서 쿠버네티스 패치 관리와 관련하여 관리자는 패치된 버전에 대한 즉각적인 업데이트가 불가능한 경우 옵션이 있다. 관리자는 "Volume.Subpath"의 사용을 중지할 수 있지만, 이렇게 하면 정기적으로 사용되는 기능에 영향을 미치게 됩니다. 또 다른 옵션은 정책 기반 활동을 수행할 수 있는 오픈 소스 에이전트인 OPA(Open Policy Agent)를 사용하는 것입니다. 관리자는 OPA의 Rego 언어로 규칙을 작성하여 특정 YAML 파일이 실행되지 않도록 할 수 있습니다. 컨테이너 이미지 스캔 을 사용하여 취약점을 식별할 수도 있습니다.
또한 역할 기반 액세스 제어(RBAC)를 사용하여 Kubernetes 클러스터 내에서 작업을 수행할 수 있는 권한이 있는 사용자 수를 제한해야 합니다. 이 포괄적인 전략은 잠재적인 공격 경로를 줄이면서 보안을 개선합니다.
결론
경계 및 사전 예방적 보안 조치 은 쿠버네티스 세계에서 매우 중요합니다. 동안 쿠버네티스의 CVE (CVE-2023-3676, CVE-2023-3893, CVE-2023-3955)는 주로 Kubernetes 클러스터 내의 Windows 엔드포인트에 영향을 미치지만, 그 파급 효과는 광범위합니다. Kubernetes 클러스터는 서로 연결되어 있기 때문에, Windows를 실행 중인 노드라도 단일 노드가 손상되면 전체 클러스터의 구성 및 보안에 영향을 미칠 수 있습니다.
쿠버네티스의 복잡한 세계와 그 결함을 탐색하면서 다음과 같은 사실이 분명해졌습니다. 쿠버네티스 모범 사례 이 관련 플랫폼에 관계없이 필수적이라는 것을 알게 되었습니다. 끊임없이 변화하는 디지털 환경에서 하나의 노드를 방어하는 것만으로는 충분하지 않습니다. Kubernetes 클러스터 보안.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 CSO.