상세 컨텐츠

본문 제목

Kubernetes에서 모든 서버를 DoS 공격에 노출시키는 심각한 취약점 발견

국내외 보안동향

by 알약(Alyac) 2019. 8. 21. 14:31

본문

Severe Flaws in Kubernetes Expose All Servers to DoS Attacks


오픈 소스 시스템인 Kubernetes의 모든 버전에 영향을 미치는 심각도 높은 취약점이 발견되었습니다. 


이 취약점은 승인받지 않은 공격자가 DoS 공격을 실행할 수 있도록 허용합니다. 


Kubernetes 개발 팀은 해당 취약점을 수정하기 위한 패치를 이미 발행했습니다.


Kubernetes는 호스트 클러스터에서 컨테이너화된 워크로드 및 서비스의 배포, 스케일링, 관리를 자동화하는 이식성이 있고, 확장 가능한 오픈소스 플랫폼입니다.


Kubernetes는 클러스터 내부의 pod 및 애플리케이션을 실행하는 컨테이너를 관리할 수 있는 로드 밸런싱, 오케스트레이션, 롤아웃 및 롤백 등 다양한 서비스를 제공합니다.


모든 Kubernetes 버전에 영향을 미치는 보안 결함


Kubernetes 측은 Go 언어의 net/http 라이브러리에서 Kubernetes의 모든 컴포넌트 및 버전에 영향을 미치는 보안 이슈가 발견되었다고 밝혔습니다.


이 취약점은 HTTP 또는 HTTPS 리스너를 포함하는 모든 프로세스에 대한 DoS 공격으로 이어질 수 있습니다.

 

Netflix는 지난 8월 13일 HTTP/2 프로토콜 통신을 지원하는 서버를 DoS 공격 위험에 노출시키는 다수의 취약점을 발표했습니다. 


이 취약점은 Go 및 /healthz를 포함한 HTTP/2 프로토콜 통신을 제공하는 모든 Kubernetes 컴포넌트에 영향을 미칩니다.


CVE-2019-9512와 CVE-2019-9514로 등록된 취약점은 CVSS v3.0 기본 점수 7.5를 받았으며, 신뢰할 수 없는 클라이언트가 서버가 중단될 때까지 메모리를 무제한 할당할 수 있습니다.



1. CVE-2019-9512 Ping Flood: 공격자가 HTTP/2 peer로 지속적인 핑을 보내 peer가 내부 응답 큐를 빌드하도록 합니다. 데이터가 얼마나 효율적으로 큐잉 되느냐에 따라 과도한 CPU, 메모리가 소모되어 DoS 상태를 발생시킬 수 있습니다.


2. CVE-2019-9514 Reset Flood: 공격자가 스트림 다수를 오픈하여 각 스트림에 유효하지 않은 요청을 보내 peer로부터 RST_STREAM 프레임의 스트림을 요청합니다. Peer가 RST_STREAM 프레임을 큐잉하는 방식에 

따라 과도한 메모리, CPU를 소모해 DoS로 이어질 수 있습니다.



Kubernetes 클러스터 업그레이드 


Kubernetes는 이미 해당 취약점들을 패치했습니다. 따라서 모든 관리자분들께서는 패치된 버전으로 가능한 한 빨리 업그레이드하시기 바랍니다.


아래의 Kubernetes 버전은 패치된 버전의 Go를 사용하여 취약점을 완화시킬 수 있도록 했습니다.



• Kubernetes v1.15.3 - go1.12.9

• Kubernetes v1.14.6 - go1.12.9

• Kubernetes v1.13.10 - go1.11.13



Kubernetes 관리자들은 Kubernetes Cluster Management page에서 제공하는 업그레이드 지침에 따라 클러스터를 업그레이드 하시기 바랍니다.





출처:

https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/

관련글 더보기

댓글 영역