#키베르노(Kyverno): 쿠버네티스를 관리할 때 기본적으로 RBAC으로 권한을 관리하나, RBAC만으로 부족할 때 사용하는 정책 엔진.
#Admission Controller: 쿠버네티스 API를 호출했을 때, 해당 요청을 변형하거나 검증하는 플러그인 셋.
키베르노의 Admission Controller기능에서 고위험군 취약점이 발견.
익스플로잇 시 공격자들이 각종 멀웨어를 피해자의 클라우드환경에 심을 수 있음.
Admission Controller는 시그니처를 확인하는 매커니즘을 보유. 즉, 서명된 컨테이너 이미지만 활용 가능하도록 함.
그러나 취약점은 서명 기반 보안 매커니즘을 무력화시킴.
어떤 이미지를 주입하느냐에 따라 피해자의 자산, 크리덴셜, 계정 탈취, API 접근 ... 여러 가지 악의적인 행위 가능.
[정상 프로세스]
1) 새로운 워크로드(이미지)를 쿠버네티스 API서버에 요청
2) API 서버는 키베르노의 Admission Controller에게 확인 요청 전송
3) Admission Controller는 컨테이너 레지스트리에게 시그니처 요청
Admission Controller는 이 과정에서 시그니처를 확인하기 위해 Image Manifest를 두 번 다운로드함.
그러나 시그니처를 확인하는 것은 처음 한 번임. 이를 악용한 공격.
[공격 프로세스]
1) 관리자에게 사회공학적 공격 시도, 악성 레지스트리 또는 프록시에서 컨테이너 이미지를 임포트하게 함.
2) 이미지가 처음 임포트될 때는 악성 레지스트리에서 정상적으로 서명된 이미지를 보냄
3) Admission Controller가 두 번째로 이미지 요청 시 악성 이미지를 보냄
컨테이너 환경에 대한 위협이 점점 커지고 있음. 주의할 것.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 차량을 훔친 해킹범 살해한 30대 여성, 한국산 자동차 해킹 쉬워.. (0) | 2022.12.28 |
|---|---|
| [보안이슈] GuLoader 멀웨어 다운로더의 새로운 탐지 회피 기술 발견 (0) | 2022.12.27 |
| [보안이슈] Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점 발견 (0) | 2022.12.23 |
| [보안이슈] 멀웨어가 보안 검사를 우회하도록 하는 macOS 버그 발견. (0) | 2022.12.21 |
| [보안이슈] 사설 마인크래프트 서버를 타겟으로 DDoS 공격 수행하는 맥크래시(MCCrash) (0) | 2022.12.20 |