2021-9-10일 기사 

애저 클라우드에서 대단히 위험한 취약점이 발견됐다. 테넌트가 다른 테넌트의 영역을 넘어 호스트에까지 침투해 완전 장악까지 할 수 있게 해 주는 취약점이다. 공공 클라우드 생태계에서 처음 발견된 이 취약점은 사용자 입장에서 조치를 취할 방법이 없다는 것이 문제이다.

[보안뉴스 문가용 기자] 애저 컨테이너 인스턴스(Azure Container Instances, ACI) 플랫폼에서 취약점들이 발견됐다. 사용자가 익스플로잇에 성공할 경우 원래의 인스턴스 환경에서 탈출해 컨테이너 인프라(CaaS) 전체를 장악할 수 있다고 한다. 보안 업체 팔로알토 네트웍스가 발표했다. 

문제의 취약점은 새로운 컨테이너를 생성하고 실행시키는 데 활용되는 요소에서 발견된 것으로, 2년 전부터 존재했던 것으로 분석됐다. 팔로알토의 보안 전문가들은 이 취약점을 익스플로잇 함으로서 애저의 멀티 테넌트 공공 클라우드 환경에서부터 탈출하고 큐버네티스 관리 시스템에까지 도달해 통제권을 가져오는 데 성공했다고 한다.

팔로알토의 클라우드 연구 팀장 아리엘 젤리반스키는 “공공 클라우드 시스템을 완전히 장악하는 해킹 시연에 성공한 것은 이번이 처음”이라며 “클러스터 관리자로까지 권한을 상승시키는 취약점을 익스플로잇 하는 데 성공했기 때문”이라고 밝혔다. “이 권한으로는 큐버네티스 내 모든 부분에 접근하는 것이 가능하다. 클라우드 공격의 성배나 다름없는 취약점이죠.”

이러한 취약점에 대해 클라우드 사용자가 실질적으로 할 수 있는 일은 그리 많지 않다는 것이다. 취약점을 발견하고 고쳐서 보다 안전한 서비스를 다시 내놓는 건 전적으로 클라우드 서비스 업체의 할일이다. 젤리반스키는 “컨테이너 사용자 입장에서는 계속해서 서비스를 사용하면서 정상적인 상태가 어떤 건지를 익혀두어야 한다”고 권고한다.  

원본출처 : 공공 클라우드의 기본 질서 무너트릴 수 있는 취약점 처음 발견돼 (boannews.com)