최초 게시일: 2022년 7월 11일 9:00 PST
최근 한 보안 연구자가 Amazon Elastic Kubernetes Service(EKS)에서 사용하는 AWS IAM Authenticator for Kubernetes 관련 문제를 보고했습니다. 쿼리 문자열 내에서 ‘AccessKeyID’ 템플릿 파라미터를 사용하도록 구성할 때 Authenticator 플러그인에서 쿼리 파라미터 검증 오류가 확인되었습니다. 이 문제로 인해 정보를 갖고 있는 공격자가 Kubernetes 클러스터 내에서 권한을 승격할 수 있습니다. ‘AccessKeyID’ 파라미터를 사용하지 않는 고객은 이 문제의 영향을 받지 않습니다.
2022년 6월 28일을 기점으로 전 세계 모든 EKS 클러스터는 이 문제의 수정 사항이 포함된 새 버전의 AWS IAM Authenticator for Kubernetes로 업데이트되었습니다. Amazon EKS에서 AWS IAM Authenticator for Kubernetes를 사용하는 고객은 이러한 공격을 방어하기 위해 특별한 조치를 취하지 않아도 됩니다. 자체 Kubernetes 클러스터를 호스팅 및 관리하는 고객과 Authenticator 플러그인의 ‘AccessKeyID’ 템플릿 파라미터를 사용하는 고객은 AWS IAM Authenticator for Kubernetes를 버전 0.5.9로 업데이트해야 합니다.
이 문제를 보고해 주신 Lightspin님께 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.