Docker는 특정 버전의 Docker Engine에 영향을 미치는 심각한 결함에 대해 경고했습니다. 이 결함으로 인해 공격자가 특정 상황에서 권한 부여 플러그인(AuthZ)을 우회할 수 있습니다.
추적됨 CVE-2024-41110우회 및 권한 상승 취약점은 최대 심각도를 나타내는 CVSS 점수 10.0을 받습니다.
Moby 프로젝트 관리자는 공지에서 “공격자는 Content-Length를 0으로 설정한 API 요청을 사용해 우회 공격을 감행할 수 있으며, 이로 인해 Docker 데몬이 본문 없이 요청을 AuthZ 플러그인으로 전달하게 되어 요청이 잘못 승인될 수 있습니다.”라고 밝혔습니다.
Docker는 이 문제가 원래 2018년에 발견되어 2019년 1월에 출시된 Docker Engine v18.09.1에서 해결되었지만, 이후 버전(19.03 이상)으로는 이어지지 않았다고 밝혔습니다.
이 문제는 2024년 4월에 문제가 식별된 후 2024년 7월 23일 기준 23.0.14 및 27.1.0 버전에서 해결되었습니다. 액세스 제어 결정을 내리는 데 AuthZ가 사용된다고 가정하면 다음 버전의 Docker Engine이 영향을 받습니다.
Docker의 Gabriela Georgieva는 “액세스 제어 결정을 내리기 위해 권한 부여 플러그인에 의존하지 않는 Docker Engine v19.03.x 및 이후 버전 사용자와 모든 버전의 Mirantis Container Runtime 사용자는 취약하지 않습니다.”라고 말했습니다.
“AuthZ 플러그인에 의존하지 않는 Docker 상용 제품 및 내부 인프라 사용자는 영향을 받지 않습니다.”
또한 Docker Desktop 4.32.0 버전에도 영향을 미치지만, 해당 회사는 악용 가능성이 제한적이며 Docker API에 액세스해야 하므로 공격자가 이미 호스트에 로컬로 액세스할 수 있어야 한다고 밝혔습니다. 수정 사항은 다음 릴리스(4.33 버전)에 포함될 것으로 예상됩니다.
Georgieva는 “기본 Docker Desktop 구성에는 AuthZ 플러그인이 포함되지 않습니다.”라고 언급했습니다. “권한 에스컬레이션은 기본 호스트가 아닌 Docker Desktop(가상 머신)으로 제한됩니다.”
Docker는 CVE-2024-41110이 실제로 악용되고 있다는 사실을 언급하지 않지만, 사용자는 잠재적인 위협을 완화하기 위해 최신 버전을 설치하는 것이 중요합니다.
올해 초, Docker는 Leaky Vessels이라는 일련의 결함을 패치하기 시작했습니다. 이 결함을 악용하면 공격자가 호스트 파일 시스템에 무단으로 접근하여 컨테이너에서 탈출할 수 있습니다.
“클라우드 서비스가 인기를 얻으면서, 클라우드 인프라의 통합된 부분이 된 컨테이너의 사용도 늘어나고 있습니다.” Palo Alto Networks Unit 42는 지난주에 발표한 보고서에서 이렇게 말했습니다. “컨테이너는 많은 이점을 제공하지만, 컨테이너 이스케이프와 같은 공격 기술에 취약합니다.”
“동일한 커널을 공유하고 호스트의 사용자 모드에서 완전히 격리되지 않은 컨테이너는 컨테이너 환경의 한계를 벗어나려는 공격자가 사용하는 다양한 기술에 취약합니다.”
