Ingress-NGINX Admission Controller의 치명적 원격 코드 실행 취약점

보안 연구원들은 Ingress-NGINX Admission Controller 버전 1.11.1에서 파일 디스크립터(FD) 주입을 통한 원격 코드 실행(RCE) 취약점을 발견했습니다. 이 취약점은 Exploit-DB ID 52475에 등재되었으며, 이 컴포넌트를 사용하는 Kubernetes 환경에 심각한 위험을 초래할 수 있습니다.

취약점 기술적 세부 사항

이 취약점은 Admission Controller에서 파일 디스크립터 처리상의 결함으로 인해 발생하며, 공격자가 악의적인 파일 디스크립터를 프로세스에 주입할 수 있습니다. 이러한 조작은 영향을 받는 서비스의 권한으로 임의 코드 실행을 유발할 수 있습니다. 특히 다음 이유로 우려가 큽니다:

• 원격 공격 가능성: 공격자는 로컬 접근 없이도 취약점을 트리거할 수 있습니다.
• 권한 상승 가능성: 성공적인 공격은 Kubernetes 클러스터에 대한 제어권을 부여할 수 있습니다.
• 낮은 공격 복잡도: 이 취약점은 고급 기술 없이도 악용될 수 있어 광범위한 공격 가능성이 높습니다.

현재 이 취약점에는 CVE ID가 할당되지 않았지만, 보안 팀은 Ingress-NGINX 프로젝트의 공식 권고 사항을 모니터링해야 합니다.

영향 분석

이 RCE 취약점은 Ingress-NGINX Admission Controller v1.11.1을 사용하는 조직에 고위험을 초래합니다. 잠재적 영향은 다음과 같습니다:

• 비인가 클러스터 접근: 공격자가 Kubernetes 워크로드를 장악하여 데이터 유출 또는 서비스 중단으로 이어질 수 있습니다.
• 횡적 이동: 침해된 컨트롤러가 네트워크 내 추가 공격의 진입점으로 작용할 수 있습니다.
• 규정 준수 위반: 패치되지 않은 시스템은 안전한 컨테이너 오케스트레이션에 대한 규제 요구 사항을 충족하지 못할 수 있습니다.

보안 팀을 위한 권고 사항

1. 즉각적인 패치 적용: Ingress-NGINX Admission Controller의 최신 안정 버전으로 업그레이드하세요.
2. 네트워크 분리: Admission Controller를 신뢰할 수 없는 네트워크로부터 격리하여 노출을 제한하세요.
3. 모니터링 및 탐지: 침입 탐지 시스템(IDS)을 배포하여 의심스러운 파일 디스크립터 활동 또는 비인가 프로세스 실행을 식별하세요.
4. 접근 제어: Admission Controller의 권한을 제한하여 악용 시 잠재적 피해를 최소화하세요.
5. 사고 대응 계획: 잠재적 RCE 사고에 대비한 격리 및 복구 절차를 준비하세요.

보안 팀은 이 취약점의 원격 공격 가능성과 Kubernetes 보안에 미치는 높은 영향을 고려하여 우선적으로 대응해야 합니다. Exploit-DB에서 기술적 개념 증명(PoC) 세부 사항과 Ingress-NGINX 유지 관리자의 업데이트를 확인하세요.