개발조직은 커뮤니케이션, 협업, 생산성을 높이기 위해 수많은 도구에 의존하고 있는데, 그중 도커나 쿠버네티스 같은 애플리케이션 패키징 도구를 사용하는 기업들이 많아지고 있습니다.

도커 컨테이너를 이용하면 애플리케이션, 환경설정, 여러 라이브러리 등 이미지화하여 배포하기 때문에 개발자가 하나씩 PC나 서버에 작업할 필요 없이 한번에 설치할 수 있어 기업이나 개발자들이 상당히 선호하는 도구라고 할 수 있습니다.

2021년 Stackoverflow 설문조사 결과를 보면 얼마나 많은 기업이 도커를 사용하는지 알 수 있습니다.

* 출처: Stackoverflow

다만 이런 편의성 이면에는 도커 컨테이너를 제대로 관리하지 않을 경우 코드실행, 디렉토리 트래버스, 권한획득 등의 다양한 취약점이 발생하여 치명적인 피해를 입을 수 있습니다.

2014년부터 현재까지 알려진 도커의 취약점은 총 34가지이며, 다양한 유형의 취약점 중 7이상 스코어를 가진 취약점은 9개로 이중 권한획득, 코드실행 같은 위험도가 높은 취약점도 존재하고 있습니다.

* 출처: CVE Details

특히 CVE-2019-5736 취약점은 runC 버그를 이용하여 Host의 root 권한을 획득, 컨테이너 서버와 다른 컨테이너에 접근할 수 있는 무서운 취약점이므로 아래 영향 받는 버전을 사용하고 있다면 즉시 패치를 해야 합니다.

Docker CE 18.06.2, 18.09.2 이전 버전, Docker EE 17.06.2-ee-19 이전 버전, 18.03.1-ee-6, 18.09.2

 

세계 수많은 IP 주소 중 도커가 운영되고 있는 IP를 검색해본 결과 27,796개의 IP가 중국, 미국, 한국 순으로 사용되는 것으로 확인됩니다.

도커가 운영되고 있는 IP

27,796개의 IP 중 취약한 “Docker 17.06.2” 버전을 검색한 결과 1,694개 IP가 확인되었습니다.
2019년 보고된 취약점임에도 불구하고 여전히 취약한 버전의 도커를 사용하는 IP가 상당수 있음을 통계를 통해 확인할 수 있습니다.

도커가 운영되고 있는 IP

상세 분석을 위해 IP Scoring이 Inbound: Critical로 확인된 IP를 살펴보겠습니다.
도커를 1024 포트로 서비스하고 있으며 취약점이 6개, Exploit DB가 1개 존재하는 상당히 취약한 상태의 IP 주소입니다.

IP스코어가 Critical로 확인된 IP

확인된 취약점 중 위험도가 상당히 높은 CVE-2019-5736이 확인됩니다.
해당 취약점은 앞서 설명했듯 runC 버그를 이용하여 Host의 root 권한을 획득, 컨테이너 서버와 다른 컨테이너에 접근이 가능한 무서운 취약점이므로 최대한 신속하게 보안 패치를 적용해야 합니다.

IP에서 확인된 CVE-2019-5736

CIP를 통해 확인된 도커 취약점은 즉시 최신 버전으로 업데이트해야 합니다.
그리고 후속조치로 도커 설정 보안 강화, 호스트 OS 보안 강화, 도커파일 이미지 권한 관리, 도커 Swarm 노드별 권한 분리 등의 보호조치를 수행하여 개발환경의 안전성을 확보해야 합니다.

해당 게시글은 Criminal IP의 데이터를 바탕으로 작성되었습니다. Criminal IP의 구체적인 서비스 내용 및 베타테스터 모집에 관해 더 궁금하시다면 현재 오픈되어 있는 랜딩페이지를 바로 방문해주세요!