Java 어플리케이션에 Datadog APM을 Datadog Single Step Instrumentation(SSI)를 사용하여 구성한 경우에 대한 취약점 발견되어 안내 드립니다.
datadog-apm-inject 인젝터 버전 0.66.0 미만을 사용하는 경우 로컬 권한 상승 취약점을 유발할 수 있다고 합니다.
Datadog에서 안내한 방법을 참고하여 datadog-apm-inject 인젝터를 0.66.0+ 이상으로 적용하시기 바랍니다.
운영 중인 ORG에 취약 대상이 포함됐는지 확인하는 방법에 대해 추가적인 안내를 드리면 다음과 같습니다.
- Java 어플리케이션에 APM을 적용 중인지 확인
메뉴: APM > Software Catalog > Services 메뉴의 조회 창에서 ‘language:jvm’으로 조회하여 대상 확인

- 위에 해당하면 아래 메뉴를 통해서 Datadog Single Step Instrumentation(SSI) 사용 여부를 확인
메뉴: Integrations > Fleet Automation > Fleet View 메뉴의 조회 창에서 ‘single_step_instrumentation:enabled’으로 조회하여 대상 확인

- 1~2에 해당하면 Datadog에서 안내한 방법(박스 내용)을 참고하여 상세 확인(버전 확인 등) 후 해당하는 경우 조치 진행하시기 바랍니다.
[ Datadog의 안내 ]
안녕하세요, 이 커뮤니케이션은 Datadog SSI 인젝터(datadog-apm-inject)에서 발견된 취약점을 알려드리기 위한 것입니다. 공식 보안 공지(GHSA)가 게시되었고, CVE가 요청된 상태입니다. CVE가 할당되면 공지를 업데이트하겠습니다.
요약
귀 조직은 지난 30일 내에 Java 서비스와 함께 Datadog Single Step Instrumentation(SSI)을 사용했으며, 취약한 버전의 datadog-apm-inject 인젝터를 실행 중일 수 있어 이 알림을 수신하셨습니다. datadog-apm-inject는 로컬 권한 상승 취약점을 유발할 가능성이 있습니다. 영향받는 버전에서는 Java 서비스 계측 중 크래시 훅 스크립트가 모두가 쓸 수 있는 /tmp 디렉터리에 기록됩니다. 호스트에 접근 가능한 로컬 내 비권한의 공격자가 이 스크립트를 수정하여, Java 프로세스의 권한으로 신뢰할 수 없는 코드를 실행할 수 있도록 권한 상승이 이어질 수 있습니다.
CVSS 4.0 점수: 7.5 – 높음
영향을 받았는지 확인하는 방법 아래 조건이 모두 참인 경우 영향을 받습니다:
환경 별 Datadog Single Step Instrumentation(SSI)이 활성화되었는지 확인하는 방법
1. Kubernetes SSI는 클러스터 전체 또는 특정 네임스페이스/워크로드에 범위 지정되어 활성화될 수 있습니다. 다음과 같이 구성을 확인하세요.
* 참고: 가장 신뢰할 수 있는 방법은 pod 단위로 확인하는 것입니다. 계측된 pod는 Datadog 인젝터를 가리키는 LD_PRELOAD 환경 변수가 설정되어 있습니다. 예시> # kubectl get pod -n <namespace> -o yaml | grep -A1 LD_PRELOAD 실행 값에 launcher.preload.so(path: /opt/datadog-packages/datadog-apm-inject 하위)가 포함되어 있으면 해당 pod는 SSI로 계측된 것입니다. * 주의: 현재 클러스터 전체에서 인젝터 버전을 신뢰성 있게 판별하는 메커니즘은 없습니다. Java 워크로드에서 SSI를 실행 중인 경우, 완화 조치를 수행할 것을 권장합니다.
2. Linux: /etc/ld.so.preload에 Datadog 인젝터가 참조되면 SSI가 활성화된 것입니다. # grep launcher.preload.so /etc/ld.so.preload 설치된 인젝터의 버전은 다음으로 확인할 수 있습니다. # cat /opt/datadog-packages/datadog-apm-inject/stable/version 이 파일이 없거나, 표기된 버전이 0.66.0 미만이면 영향을 받는 SSI 버전을 실행 중입니다.
Datadog의 취약점 해결 방안 해당 취약점 확인 즉시 Datadog은 datadog-apm-inject SSI 인젝터의 수정 버전(0.66.0+)을 릴리스하여, 영향받는 도구에서 모두 쓸 수 있는 /tmp 경로 사용을 제거함으로써 공격 가능성을 제거했습니다.
조치방법 Kubernetes(Helm)
Kubernetes(Datadog Operator):
Linux:
예시> # cat /opt/datadog-packages/datadog-apm-inject/stable/version
Workaround 즉시 업그레이드가 불가능한 경우:
업그레이드가 불가능하거나 다른 질문이 있으시면 Datadog Support로 문의해 주세요. 감사합니다. |
온라인상담
문의하기