AWS, 구글, VM웨어, 시스코 등에 영향을 주는 취약점...패치 발표 이어져
취약점 발견되고 1주일 지나 깃허브에 구현 코드 공개돼...실험 전 백업부터

[보안뉴스 문가용 기자] AWS, 구글 클라우드를 비롯해 여러 리눅스 버전들에 영향을 준다고 알려진 컨테이너 탈출 취약점에 대한 개념증명 익스플로잇 코드가 공개됐다. 이 취약점이 발견된 건 지난 달로, CVE-2019-5736이라는 번호로 등록됐다.


이 취약점은 cri-o, 컨테이너드(containerd), 큐버네티스(Kubernetes), 포드맨(Podman) 등 사실상 거의 모든 컨테이너 서비스에서 활용되고 있는 컨테이너 런타임인 runc에서 발견됐다. 익스플로잇 될 경우 공격자가 호스트에서 임의 코드를 실행할 수 있게 해준다.

이 취약점이 공개되고 나서 일주일 후, 깃허브에 고(Go) 언어로 만들어진 컨테이너 탈출 구현 프로그램이 나타났다. 다만 이 프로그램이 제대로 작동하려면 컨테이너 내부에 고유 식별자가 0인(uid 0) 루트(root) 계정이 있어야만 했다.

“컨테이너 내부에서 명령을 실행할 수 있어야만 공격이 성립합니다. 이를 통해 악성 바이너리를 활성화할 수 있는 겁니다. 공격자나 피해자가 도커 exec를 사용해 컨테이너 안으로 접속할 때, 이 익스플로잇이 발동되기 시작하며, 루트 권한으로 코드를 실행할 수 있게 됩니다.” 당시 구현 코드를 작성한 사람의 설명이다.

깃허브에 공개된 프로그램은 쉽게 설명하면 호스트에 있는 runc를 덮어쓰기 하는 것으로, 이렇게 하면 시스템이 도커 컨테이너들을 실행할 수 없게 된다. 만약 이 코드를 실험해보고 싶다면, 백업부터 해두는 것이 좋을 것이라고 보안 전문가들은 경고한다. 특히 /usr/bin/docker-runc와 /usr/bin/runc, 그리고 /usr/sbin가 주요 백업 대상이다. 이 코드는 여기(https://github.com/Frichetten/CVE-2019-5736-PoC)서 열람이 가능하다.

하지만 이는 위 취약점을 익스플로잇 하는 수많은 공격 시나리오 중 하나에 불과하다. 또 다른 공격 방법으로는 악성 도커 이미지를 사용하는 것이다. 악성 이미지를 통해 익스플로잇을 시작하면, 컨테이너 내부에 exec을 실행할 필요가 없게 된다.

지난 주 아마존과 구글, 레드햇, 데비안, 우분투 등은 각자 회사에서 출시한 제품들이 이 취약점의 영향을 받고 있다고 발표하기도 했다. 그 후 여러 회사에서 조사에 착수했는데, VM웨어가 여러 제품에서 취약점을 발견하고 패치를 배포하기 시작했다. 패치를 적용해야 하는 제품은 다음과 같다.

1) VMWare Integrated OpenStack with Kubernetes(VIO-K)
2) VMWare PKS(PKS)
3) VMware vCloud Director Container Service Extension(CSE)
4) vSphere Integrated Containers(VIC)

“VM웨어는 제품 업데이트들을 통해 runc 컨테이너 런타임에 있던 파일 디스크립터 취약점을 해결했습니다. 이 취약점을 성공적으로 익스플로잇 하면 악성 컨테이너가 호스트의 runc 라이브러리를 덮어쓰기 하고, 임의의 코드를 실행할 수 있게 됩니다. 따라서 반드시 업데이트를 진행하시기 바랍니다.”

한편 시스코 역시 일부 제품과 클라우드 서비스에서 이 취약점으로 인한 영향이 발견됐다고 발표했다. 그리고 현재 조사 중에 있다고도 언급했다. 여태까지 시스코가 조사한 바 아직까지 이 취약점에 영향을 받지 않고 있는 제품은 시스코 메타클라우드(Cisco Metacloud)뿐인 것으로 알려져 있다.

3줄 요약
1. 얼마 전 컨테이너 서비스의 runc 라이브러리에서 발견된 취약점, 개념증명 코드 나옴.
2. 이 취약점을 익스플로잇 할 경우 호스트 내에서 임의 코드 실행할 수 있음.
3. 구글, 아마존, 각종 리눅스, VM웨어, 시스코 제품들에서 다양한 업데이트 진행되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>