보안 게시판

다음은 Dataflow와 관련된 모든 보안 게시판에 대한 설명입니다.

제공되는 최신 보안 게시판을 보려면 다음 중 하나를 수행합니다.

  • 이 페이지의 URL을 피드 리더에 추가합니다.
  • 피드 리더에 피드 URL을 직접 추가합니다. https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

게시됨: 2024-07-03

설명 심각도 참고

최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. Dataflow 작업은 CVE-2024-6387에 취약한 OpenSSH 버전으로 OS 이미지를 사용하는 VM을 만들 수 있습니다. 이 취약점으로 인해 공격자가 Dataflow 작업자 VM에 대한 루트 액세스 권한을 얻을 수 있습니다. 공개 IP 주소가 있고 SSH가 인터넷에 노출된 Dataflow 작업자 VM이 가장 시급한 완화 조치 대상입니다.

어떻게 해야 하나요?

업데이트된 OpenSSH가 포함된 패치가 적용된 Dataflow VM 이미지를 사용할 수 있습니다. 다음 단계를 수행하여 파이프라인의 노출을 확인한 다음 필요에 따라 설명된 완화 조치를 적용하는 것이 좋습니다.

Dataflow 작업자 VM에 대한 SSH 허용 안함

이 작업은 SSH의 현재와 미래의 취약점을 가장 효과적으로 완화할 수 있는 방법입니다.

Dataflow가 작동하거나 대부분의 Dataflow 문제를 디버깅하는 데 Dataflow 작업자 VM에 대한 SSH 액세스가 필요가 없습니다.

다음 Google Cloud CLI 명령어를 사용하여 Dataflow VM에 대해 SSH를 중지합니다.

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

이 작업을 되돌리려면 gcloud compute firewall-rules delete block-ssh-dataflow 명령어를 사용합니다.

장기 실행 스트리밍 파이프라인 업데이트 또는 다시 시작

이 작업은 이 게시판에 언급된 특정 취약점을 해결합니다.

2024년 7월 4일 22:00 PDT 이후에 시작된 모든 Dataflow 작업은 패치가 적용된 VM 이미지를 사용합니다. 이 날짜 이전에 시작된 스트리밍 파이프라인의 경우 패치가 적용된 VM 이미지를 사용하려면 작업을 수동으로 업데이트하거나 작업을 다시 시작해야 합니다.

공개 IP 주소를 가진 작업자 VM이 있는 Dataflow 작업 식별

방화벽으로 액세스가 차단되지 않는 한 공개 IP 주소가 있는 Dataflow 작업자 VM의 SSH 포트는 인터넷에 공개됩니다.

외부 IP 주소가 있는 VM을 시작한 Dataflow 작업 목록을 가져오려면 다음 gcloud CLI 명령어를 사용합니다.

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

프로젝트에서 외부 IP 주소가 있는 모든 VM 목록을 검사하려면 다음 gcloud CLI 명령어를 사용합니다.

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Dataflow 작업에서 공개 IP 사용 중지

이 단계에서는 SSH 포트가 공개 인터넷에 대해 열려 있지 않은지 확인합니다. 방화벽에 의해 액세스가 차단되지 않는 한 이 구성을 사용하면 이 네트워크에 대한 액세스 권한이 있는 다른 사용자에게 포트가 열린 상태로 유지됩니다.

공개 인터넷에 액세스하지 않는 Dataflow 파이프라인은 공개 IP 주소를 사용할 필요가 없습니다.

공개 IP 주소를 사용하는 파이프라인을 식별했지만 공개 인터넷 액세스가 필요하지 않은 경우 해당 파이프라인의 외부 IP 주소를 사용 중지하세요. 안내는 외부 IP 주소 사용 중지를 참조하세요.

해결되는 취약점은 무엇인가요?

CVE-2024-6387 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 Dataflow 작업자 VM에 대한 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

보통 CVE-2024-6387