아마존 웹 서비스, Log4Shell 핫픽스의 컨테이너 탈출 취약점 수정

Amazon Web Services fixes container escape in Log4Shell hotfix

 

Amazon Web Services(AWS)에서 치명적인 Log4Shell 취약점(CVE-2021-44228)을 수정한 긴급 패치에 존재한 Log4j 로깅 라이브러리나 컨테이너의 취약한 버전을 사용하는 클라우드나 Java 애플리케이션을 실행하는 온-프레미스 환경에 영향을 미치는 4가지 보안 문제를 수정했습니다.

 

Amazon의 핫 패치 패키지는 AWS 리소스에만 제한되지 않고, 환경 내 컨테이너를 탈출하고 호스트를 제어할 수 있습니다. 이 취약점은 권한이 없는 프로세스를 통해 악용되어 루트 권한으로 권한을 상승시키고 코드를 실행할 수도 있습니다.

 

해당 취약점은 현재 CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071로 등록되었습니다. 이는 모두 10점 만점에 8.8점을 기록해 심각도 높은 위협으로 평가되었습니다.

  

핫패치의 문제

 

Palo Alto Network의 Unit 42 보안 연구원은 Amazon의 Log4Shell 핫픽스 솔루션이 Java 프로세스를 계속해서 탐색하고, 패치된 프로세스가 컨테이너의 제한 사항에 따라 실행되는지 확인하지 않고 즉시 패치한다는 사실을 발견했습니다.

 

연구원들은 아래와 같이 설명했습니다.

 

"따라서 악성 컨테이너는 설치된 핫픽스 솔루션이 높은 권한으로 호출하도록 속이기 위해 "java"라는 이름의 악성 바이너리를 포함할 수 있었습니다."

 

"악성 "java" 프로세스가 상승된 권한을 악용해 컨테이너를 탈출하고 기본 호스트의 제어권을 탈취할 수 있었습니다.”

 

"컨테이너는 Java 애플리케이션을 실행하는지 여부나 기본 호스트가 컨테이너용 AWS의 강화된 Linux 배포판인 Bottlerocket을 실행하는지에 관계없이 탈출이 가능했습니다. 사용자 네임스페이스로 실행되거나 루트가 아닌 사용자로 실행되는 컨테이너 또한 영향을 받습니다."

 

Amazon의 패치로 발생한 또 다른 문제는 호스트 프로세스가 유사하게 취급되어 Log4Shell 수정 프로세스 중에 모두 상승된 권한을 얻는다는 것입니다.

 

잠재적 공격자가 "java"라는 권한 없는 프로세스 바이너리를 심고, 픽스 서비스를 속여 높은 권한으로 실행하도록 할 수 있습니다.

 

Unit 42 팀은 컨테이너 탈출 시나리오를 시연하는 PoC 익스플로잇 영상을 공개했습니다.

 

자세한 정보는 공격자의 악용을 막고 보안 업데이트가 적용될 시간을 벌기 위해 아직까지 공개되지 않았습니다.

 

취약점 발견 및 수정

 

Palo Alto Networks의 연구원들은 핫픽스가 공개된 지 6일 후 AWS 수정 사항에 존재하는 보안 문제를 발견하고 2021년 12월 21일 이를 Amazon에 신고했습니다.

 

AWS 보안팀은 취약점을 인지하고 2021년 12월 23일 새로운 업데이트를 통해 이를 수정하려 시도했으나 부족했던 것으로 판명되었습니다.

 

그리고 2022년 4월 19일, AWS는 관리자가 다음 방법 중 하나를 통해 적용할 수 있는 Log4Shell 패치 솔루션에 대한 최종 업데이트를 공개했습니다.

 

- Kubernetes 사용자는 Log4Shell 패치에 영향을 주지 않는 최신 버전의 Daemonset을 배포할 수 있습니다.

- Hotdog 사용자는 최신 버전으로 업그레이드 가능합니다.

- 독립 실행형 호스트는 아래 명령을 사용하여 업그레이드할 수 있습니다.

"yum update log4j-cve-2021-44228-hotpatch" (RPM)

"apt install --only-upgrade log4j-cve-2021-44228-hotpatch" (DEB)

 

연구원들이 발견한 Log4Shell 핫패치의 취약점 4가지는 아래와 같습니다.

 

CVE-2021-3100: 패치된 JVM의 권한을 모방하지 못해 발생하는 권한 상승 취약점으로 모든 프로세스가 불필요한 높은 권한으로 실행될 수 있음 (CVSS 기본 점수: 8.8)

CVE-2022-0070: CVE-2021-3100 취약점이 완전히 수정되지 않음

CVE-2021-3101: Hotdog가 타깃 JVM의 장치 제한, syscall 필터, 리소스 제한을 준수하지 않아 잠재적으로 악성 변경, 정책 재정의, 리소스 고갈로 이어질 수 있음 (CVSS 기본 점수: 8.8)

CVE-2022-0071: CVE-2021-3101 취약점이 완전히 수정되지 않음

 

또한 Amazon은 위의 취약점에 대한 새로운 권고를 발표해 문제를 해결하기 위한 공식 지침을 발표했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/amazon-web-services-fixes-container-escape-in-log4shell-hotfix/

https://unit42.paloaltonetworks.com/aws-log4shell-hot-patch-vulnerabilities/

https://aws.amazon.com/ko/security/security-bulletins/AWS-2022-006/