피드로 돌아가기
Dev.toSecurity
원문 읽기
LLM Agent 기반 공격으로 가속화된 Container Escape 및 권한 상승 위협
container escape is becoming an agent workload
AI 요약
Context
Docker socket 마운트 및 과도한 RBAC 권한 부여 등 기존 인프라 설정 오류가 잠재적 취약점으로 잔존하는 환경. 기존의 수동 공격 방식은 환경의 복잡성으로 인해 공격 속도가 제한되었으나, LLM Agent의 등장으로 이러한 파편화된 취약점들의 체이닝 속도가 비약적으로 상승함.
Technical Solution
- LLM Agent를 통한 자동화된 환경 Enumeration으로 최적의 Escape Path 탐색
- 마운트된 Docker socket을 활용한 Privileged Container 생성 및 Host Namespace 진입
- 탈취한 Kubernetes Service Account Token 기반의 RBAC 권한 분석 및 Secrets 덤프 수행
- 환경의 특이성(Messy Environment)으로 인한 마찰력을 LLM의 문맥 파싱 능력으로 상쇄
- 단순 스크립트 기반 공격과 달리 실행 결과에 따른 동적 경로 수정 및 지속적 시도 수행
실천 포인트
- /var/run/docker.sock 마운트 전면 금지 및 Root 권한 수준의 위험도로 관리 - Application Namespace 내 Service Account Token의 자동 마운트 옵션 비활성화 - Secret 읽기 권한을 가진 Service Account 리스트 전수 조사 및 최소 권한 원칙 적용 - Privileged Container 생성 및 Host Filesystem 마운트 시도에 대한 Runtime Detection 알람 설정