원격 코드 실행을 허용하는 쿠버네티스 RCE 취약점
Akamai 사이버 보안 연구원인 토머 펠레드는 최근 다음과 같은 취약점을 발견했습니다. 쿠버네티스 RCE 취약점 위협 공격자가 Windows 엔드포인트에서 원격으로 코드를 실행할 수 있는 취약점을 발견했습니다. 이뿐만 아니라 위협 공격자는 코드를 실행하는 동안 시스템 전체 권한을 가질 수 있습니다.
펠레드는 다음과 같이 설명했습니다. Kubernetes 볼륨이 어떻게 악용될 수 있는지, 그 결과 Kubernetes 클러스터 내의 Windows 노드를 완전히 장악할 수 있는지에 대해 설명했습니다. 이 쿠버네티스 RCE 취약점 는 CVE-2023-5528로 추적되며 CVSS 점수는 7.2입니다. Kubernetes 볼륨 기능은 Kubernetes 클러스터의 파드 간 데이터 공유를 지원하거나 파드의 수명 주기 외부에 데이터를 저장합니다.
이 문서에서는 다양한 측면에 대해 설명합니다. 쿠버네티스 RCE 취약점 와 이 결함에 대한 패치에 대해 설명합니다.
쿠버네티스 RCE 취약점의 익스플로잇은 어떻게 이루어지나요?
펠레드에 따르면, 이 특정 취약점을 악용하는 것은 매우 쉽다고 합니다. 관리자 권한을 얻으려면 사이버 보안 위협 공격자가 Windows 노드에 파드와 영구 Kubernetes 볼륨을 생성해야 합니다. 시스템 권한은 해당 노드에만 제한됩니다. YAML 파일은 쿠버네티스 프레임워크에서 사용됩니다. Windows용 인-트리 스토리지 플러그인을 사용하는 것만으로도 Kubernetes 클러스터가 취약해질 수 있습니다.
그러나 공격자가 다양한 공격 시나리오를 생성하는 데 도움이 되는 것은 볼륨 유형이며, 이는 다양한 공격 시나리오를 초래합니다. 취약한 쿠버네티스 버전에는 1.28.4 이전 버전에서 실행되는 모든 기본 설치가 포함됩니다. 펠레드는 또한 익스플로잇을 통해 쿠버네티스 RCE 취약점 의 악용은 소스 코드에 결함이 존재한다는 사실 때문에 증가할 가능성이 높다고 말했습니다.
쿠버네티스 RCE 결함을 발견하게 된 계기는 무엇인가요?
쿠버네티스의 또 다른 취약점을 조사한 결과 CVE-2023-5528 결함을 발견하는 데 도움이 되었습니다. 이 두 가지 최근 쿠버네티스 취약점 의 근본 원인은 사용자 입력 살균 부족과 안전하지 않은 함수 호출이라는 동일한 원인이었습니다.
CVE-2023-3676이라고 하는 이전 취약점은 악의적인 YAML 파일을 쿠버네티스 클러스터에 적용하여 악용될 수 있었습니다. 이 발견으로 인해 다른 두 가지 취약점이 발견되었고, 이 조사가 끝날 무렵 CVE-2023-5528이 발견되었습니다.
쿠버네티스 익스플로잇 완화
Windows의 명령 프롬프트(cmd)에는 같은 줄에 여러 명령을 허용하는 기능이 있습니다. 따라서 cmd 실행에서 하나의 매개 변수를 제어하면 명령 인젝션 취약점이 실행될 수 있습니다. 인젝션은 사용자가 퍼시스턴트볼륨클레임을 사용하여 요청할 수 있는 저장 공간에 배치될 수 있습니다. 이 패치는 cmd 호출을 삭제하고 기본 GO 함수로 대체하여 명령 인젝션의 가능성을 완화합니다. GO 함수는 cmd 호출과 동일한 작업을 수행합니다.
결론
최신 쿠버네티스 RCE 취약점 발견 는 엔터프라이즈 는 Kubernetes를 배포하기 전에 항상 Kubernetes 구성 YAML을 확인해야 합니다. 이는 Kubernetes의 여러 코드 영역에 사용자 입력 살균 기능이 없어 익스플로잇에 취약하기 때문입니다. Kubernetes 원격 코드 실행과 같은 사이버 보안 문제는 항상 심각하게 고려해야 하고 강력한 사이버 보안 조치.
이 글의 출처에는 다음 기사가 포함됩니다. 다크 리딩 과 해커 뉴스.