최근 Amazon EKS 클러스터에 구성된 nginx‑ingress 컨트롤러가 여러 보안 취약점(CVE-2025-1098, CVE-2025-1974, CVE-2025-1097, CVE-2025-24514, CVE-2025-24513)의 영향을 받을 수 있음이 확인되었습니다. 이번 글에서는 취약점의 개요, 영향을 받는 환경 확인 방법, 완화 및 업그레이드 조치, 그리고 helm 명령 실행 시 나타난 경고 메시지에 대해 자세히 알아보겠습니다 😊.
1. 문제 개요 및 취약점 정보 ⚠️
취약점 목록:
• CVE-2025-1098
• CVE-2025-1974
• CVE-2025-1097
• CVE-2025-24514
• CVE-2025-24513
• 영향: 이들 취약점은 nginx‑ingress 컨트롤러에 영향을 미치며, 악의적인 사용자가 이를 이용하여 클러스터 내의 리소스 접근, 데이터 노출 또는 서비스 거부 공격(DoS) 등 다양한 보안 위협을 야기할 수 있습니다 🔥.
2. 영향을 받는 고객 및 리소스 확인 🧐
대상 환경
Amazon EKS 클러스터를 운영 중인 모든 계정이 이번 취약점의 대상입니다. 특히 nginx‑ingress 컨트롤러를 사용 중인 클러스터에 대해 취약점이 노출될 가능성이 있으므로, 해당 리소스의 확인 및 대응이 필수적입니다.
클러스터 확인 방법
• AWS Health Central: AWS Health Central의 Account Health > Other events (or Event Log) > Eks security notification 항목에서 최신 보안 알림을 확인할 수 있습니다.
• Affected Resources 탭: 해당 알림 내 영향을 받는 리소스 (Affected Resources) 탭에서 취약점에 노출된 클러스터 목록을 확인하세요.
3. 완화 조치 및 업그레이드 방법 🔄
3.1 취약점 완화 전략
1. 취약점 확인: 먼저, 클러스터에 구성된 nginx‑ingress 컨트롤러 버전을 확인합니다.
2. 보안 패치 적용: Kubernetes 및 ingress‑nginx 공식 가이드라인에 따라 최신 보안 패치가 적용된 버전으로 업그레이드하세요.
3. 업그레이드 전 테스트: 업그레이드 후 발생할 수 있는 서비스 중단을 최소화하기 위해 별도의 테스트 환경에서 충분히 검증한 후 프로덕션 클러스터에 적용합니다 😊.
3.2 업그레이드 단계
아래는 ingress‑nginx 컨트롤러 업그레이드 시 일반적으로 따르는 단계입니다:
• Step 1: 현재 버전 확인
helm ls이 명령어로 현재 배포된 ingress‑nginx 컨트롤러 버전을 확인합니다.
• Step 2: Helm 저장소 업데이트
helm repo update최신 차트 정보를 반영합니다.
• Step 3: 업그레이드 실행
공식 업그레이드 가이드를 참고하여 아래와 같이 업그레이드 명령을 실행합니다.
helm upgrade ingress-nginx ingress-nginx/ingress-nginx --namespace ingress-nginx --version <최신 버전>버전 번호는 공식 문서를 통해 확인한 최신 버전을 입력합니다.
• Step 4: 업그레이드 검증
업그레이드 후 로그와 서비스 상태를 확인하여 정상 동작 여부를 검증합니다 🔍.
4. helm ls 경고 메시지와 보안 파일 권한 이슈 📝
업그레이드 명령 실행 시 다음과 같은 경고 메시지가 나타날 수 있습니다:
WARNING: Kubernetes configuration file is team-readable. This is insecure. Location: /Users/../../configs/prod/kubeconfig
WARNING: Kubernetes configuration file is brow-readable. This is insecure. Location: /Users/../../configs/prod/kubeconfig경고 메시지 해석
• 원인: kubeconfig 파일의 파일 권한이 너무 넓게 설정되어(그룹, world 모두 읽기 가능) 보안상 취약할 수 있다는 경고입니다.
• 해결 방안: 해당 파일의 권한을 제한하여 안전하게 설정할 필요가 있습니다.
chmod 600 /Users/../../configs/prod/kubeconfig이 명령어를 통해 파일 소유자만 읽고 쓸 수 있도록 권한을 설정할 수 있습니다 👍.
5. 결론 및 추가 조치 🚀
Amazon EKS 클러스터에서 nginx‑ingress 컨트롤러를 사용하는 경우, 이번 보안 취약점에 대해 신속하게 대응하는 것이 매우 중요합니다.
• 즉시 조치: 취약점에 노출된 클러스터를 확인하고, 최신 보안 패치로 업그레이드하여 취약점을 제거합니다.
• 추가 모니터링: AWS Health Central 및 관련 보안 공지를 지속적으로 모니터링하여 추가 업데이트나 보완 조치가 필요한지 확인합니다.
• 문제가 지속될 경우: AWS Support(여기)에 문의하여 추가 지원을 받으세요.
참고 자료
• Kubernetes GitHub 이슈: CVE 관련 토론
CVE-2025-1974: ingress-nginx admission controller RCE escalation · Issue #131009 · kubernetes/kubernetes
CVSS Rating: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) (Score: 9.8, Critical) A security issue was discovered in Kubernetes where under certain conditions, an unauthenticated attacker with acc...
github.com
Upgrade - Ingress-Nginx Controller
Upgrading Important No matter the method you use for upgrading, if you use template overrides, make sure your templates are compatible with the new version of ingress-nginx. Without Helm To upgrade your ingress-nginx installation, it should be enough to ch
kubernetes.github.io
https://support.console.aws.amazon.com:443/support/home
support.console.aws.amazon.com:443
이번 가이드가 Amazon EKS 클러스터 운영 시 보안 취약점 대응에 도움이 되기를 바랍니다. 보안은 언제나 최우선 과제임을 기억하며, 정기적인 점검과 최신 패치 적용을 통해 안전한 클러스터 운영 환경을 유지하세요 😊.
'* DevSecOps > Security' 카테고리의 다른 글
| Cloudflare, CloudFront, S3의 통합 CORS 구성 및 보안 최적화 가이드 🔐 (0) | 2025.03.28 |
|---|---|
| AWS IAM과 IRSA 이해하기 (0) | 2024.11.08 |
| 버퍼오버플로우(Buffer Over Flow) (0) | 2012.07.06 |
