최근 스닉의 보안 연구원들은 컨테이너 엔진 구성 요소에서 "리키 베셀"로 명명된 네 가지 중요한 취약점 세트를 발견했다. 이러한 취약점, 특히 도커의 경량 컨테이너 런타임인 runC에 영향을 미치는 취약점은 컨테이너화된 애플리케이션의 보안에 광범위한 영향을 미치며, 전 세계 클라우드 네이티브 개발자에게 영향을 미칠 수 있다고 경고했다.

긴급한 runC 취약점(CVE-2024-21626)

취약점 중 가장 시급히 해결해야 할 문제는 CVSS에서 심각도 점수가 10점 만점에 8.6점인 runC의 취약점인 CVE-2024-21626이다. 이 결함으로 인해 공격자는 빌드 타임과 런타임 모두에서 컨테이너를 탈출하여 기본 호스트 시스템을 잠재적으로 손상시킬 수 있다. 최악의 경우 호스트에 대한 무단 액세스로 인해 주요 자격 증명이 노출되어 추가적인 악의적 행동이 가능해질 수 있다.

빌드키트 취약점

나머지 세 가지 취약점은 도커의 기본 컨테이너 이미지 빌드 툴킷인 빌드킷을 대상으로 한다

1. CVE-2024-23651: 런타임 중에 캐시 레이어가 마운트되는 방식과 관련된 경쟁 조건을 포함한다.

2. CVE-2024-23653: BuildKit의 원격 프로시저 호출 프로토콜의 보안 모델에 영향을 준다.

3. CVE-2024-23652: BuildKit의 임의 호스트 파일 삭제 결함.

이 취약점 중 두 개(CVE-2024-23651 및 CVE-2024-23653)는 빌드 시간 전용 이스케이프이며, 세 번째 취약점(CVE-2024-23652)은 임의 호스트 파일 삭제 위험을 초래할 수 있다.

컨테이너화된 환경에 대한 잠재적 영향

스닉은 이 취약점들이 전체 도커 또는 쿠버네티스 호스트 시스템을 손상시킬 수 있다는 점에서 잠재적인 심각성을 크다. 스닉의 보안 연구원은 이러한 결함은 비교적 간단하게 악용할 수 있지만 높은 수준의 접근 권한이 필요하다고 강조한다. 공격자가 취약점을 악용하려면 임의의 컨테이너를 실행하거나, 공격 대상에 컨테이너를 빌드하거나, 업스트림컨테이너를 손상시켜야 한다.

컨테이너 보안에 대해 보안연구원들은 운영 중인 컨테이너 이미지의 87%에 심각도가 높거나 심각한 취약점이 하나이상 있는 것으로 나타났다고밝혔다. 보안에 대한 충분한 고려 없이 클라우드 애플리케이션을 서둘러 배포하다 보니컨테이너 환경의 취약성이 증가하고있는추세다.

진화하는 위협 환경은 컨테이너 보안에 대한 인식을 변화시켰다. 최근 조사에 따르면 응답자의 51%만이 컨테이너화가 애플리케이션 보안을 강화한다고 답한 반면, 2021년에는 69%가 컨테이너화가 애플리케이션 보안을 강화한다고답했다. 또한 44%는 컨테이너화로 인해 애플리케이션 환경의 보안이 약해졌다고 답했는데, 이는 전년의 7%에서 크게 증가한 수치다.

영향을 받는 컨테이너 이미지 구성 요소와 빌드 도구가 널리 사용되고 있으므로, 조직은 컨테이너 런타임 환경 제공업체의 업데이트를 확인해야한다. 여기에는 도커, 쿠버네티스 공급업체, 클라우드 컨테이너 서비스, 오픈 소스 커뮤니티가 포함된다. 신속한 업데이트는 확인된 취약점을 완화하고 컨테이너화된 애플리케이션의 보안을 유지하는 데 매우 중요하다.

죽, '리키 베셀' 취약점은 컨테이너화된 환경에서 보안의 우선순위를 정하는 것이 매우 중요하다는 것을 전하고 있다. 클라우드 네이티브 개발자는 컨테이너 배포의 무결성을 보장하기 위해 경계를 늦추지 말고 취약점을 선제적으로 해결해야 한다.