Kubernetes에서 모든 서버를 DoS 공격에 노출시키는 심각한 취약점 발견

Severe Flaws in Kubernetes Expose All Servers to DoS Attacks

오픈 소스 시스템인 Kubernetes의 모든 버전에 영향을 미치는 심각도 높은 취약점이 발견되었습니다. 

이 취약점은 승인받지 않은 공격자가 DoS 공격을 실행할 수 있도록 허용합니다. 

Kubernetes 개발 팀은 해당 취약점을 수정하기 위한 패치를 이미 발행했습니다.

Kubernetes는 호스트 클러스터에서 컨테이너화된 워크로드 및 서비스의 배포, 스케일링, 관리를 자동화하는 이식성이 있고, 확장 가능한 오픈소스 플랫폼입니다.

Kubernetes는 클러스터 내부의 pod 및 애플리케이션을 실행하는 컨테이너를 관리할 수 있는 로드 밸런싱, 오케스트레이션, 롤아웃 및 롤백 등 다양한 서비스를 제공합니다.

모든 Kubernetes 버전에 영향을 미치는 보안 결함

Kubernetes 측은 Go 언어의 net/http 라이브러리에서 Kubernetes의 모든 컴포넌트 및 버전에 영향을 미치는 보안 이슈가 발견되었다고 밝혔습니다.

이 취약점은 HTTP 또는 HTTPS 리스너를 포함하는 모든 프로세스에 대한 DoS 공격으로 이어질 수 있습니다.

 

Netflix는 지난 8월 13일 HTTP/2 프로토콜 통신을 지원하는 서버를 DoS 공격 위험에 노출시키는 다수의 취약점을 발표했습니다. 

이 취약점은 Go 및 /healthz를 포함한 HTTP/2 프로토콜 통신을 제공하는 모든 Kubernetes 컴포넌트에 영향을 미칩니다.

CVE-2019-9512와 CVE-2019-9514로 등록된 취약점은 CVSS v3.0 기본 점수 7.5를 받았으며, 신뢰할 수 없는 클라이언트가 서버가 중단될 때까지 메모리를 무제한 할당할 수 있습니다.

1. CVE-2019-9512 Ping Flood: 공격자가 HTTP/2 peer로 지속적인 핑을 보내 peer가 내부 응답 큐를 빌드하도록 합니다. 데이터가 얼마나 효율적으로 큐잉 되느냐에 따라 과도한 CPU, 메모리가 소모되어 DoS 상태를 발생시킬 수 있습니다.

2. CVE-2019-9514 Reset Flood: 공격자가 스트림 다수를 오픈하여 각 스트림에 유효하지 않은 요청을 보내 peer로부터 RST_STREAM 프레임의 스트림을 요청합니다. Peer가 RST_STREAM 프레임을 큐잉하는 방식에 

따라 과도한 메모리, CPU를 소모해 DoS로 이어질 수 있습니다.

Kubernetes 클러스터 업그레이드 

Kubernetes는 이미 해당 취약점들을 패치했습니다. 따라서 모든 관리자분들께서는 패치된 버전으로 가능한 한 빨리 업그레이드하시기 바랍니다.

아래의 Kubernetes 버전은 패치된 버전의 Go를 사용하여 취약점을 완화시킬 수 있도록 했습니다.

• Kubernetes v1.15.3 - go1.12.9

• Kubernetes v1.14.6 - go1.12.9

• Kubernetes v1.13.10 - go1.11.13

Kubernetes 관리자들은 Kubernetes Cluster Management page에서 제공하는 업그레이드 지침에 따라 클러스터를 업그레이드 하시기 바랍니다.

출처:

https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/