Kant's IT/Vulnerability
Jenkins Docker 이미지의 SSH 호스트 키 재사용 취약점 분석
Kant Jo
2025. 5. 26. 11:30
Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
A newly disclosed vulnerability affecting Jenkins Docker images has raised serious concerns about network security.
gbhackers.com
- 취약점 개요
- Jenkins Docker 이미지에서 SSH 호스트 키 재사용으로 인해 발생하는 네트워크 트래픽 탈취 위협
- 동일 이미지에서 생성된 컨테이너 간에 동일한 SSH 호스트 키를 공유함에 따라, 공격자가 빌드 에이전트를 위조하여 Jenkins 컨트롤러와의 통신을 가로챌 수 있음
- 해당 취약점은 중간자 공격(MITM), 세션 탈취, 기밀정보 노출로 이어질 가능성이 있음
- CVE 정보
- CVE-2025-32754
- 대상:
jenkins/ssh-agent이미지 - 등급: 중간 위험도
- 설명: SSH 호스트 키 재사용으로 인해 빌드 에이전트를 사칭하고 트래픽을 가로챌 수 있음
- 대상:
- CVE-2025-32755
- 대상: 지원 종료된
jenkins/ssh-slave이미지 - 동일한 취약점이 존재하며 유지보수 및 패치 미제공 예정
- 대상: 지원 종료된
- CVE-2025-32754
- 영향 받는 버전
jenkins/ssh-agent이미지- 2025년 4월 10일 이전에 배포된 모든 Debian 기반 이미지
- 예시: -jdk, -jdk-preview 등 OS 지정이 없는 이미지
jenkins/ssh-slave이미지 (사용 중단됨)- affected tags: latest, jdk11, latest-jdk11, revert-22-jdk11-JENKINS-52279
- 제외 대상: Alpine, NanoServer, Windows 기반의 Docker 이미지
- 시사점
- 컨테이너 이미지에서 사전 구성된 인증 정보 또는 키는 심각한 보안 리스크 초래
- 자동화된 이미지 배포 시, 민감 구성요소의 런타임 시점 초기화 및 검증 프로세스 필요
- 중간자 공격 방지를 위한 SSH 키 검증 체계, CI/CD 파이프라인에 필수 통합 필요
- 보안 취약점 리포트를 기반으로 즉시 패치를 반영하는 컨테이너 이미지 운영 정책 수립 필요
- 보안 권고
jenkins/ssh-agent는 6.11.2 버전으로 업데이트 필요- 해당 버전에서는 이미지 생성 시 사전 생성된 SSH 키 삭제 적용
- 첫 컨테이너 시작 시 동적으로 SSH 키 생성되도록 변경
jenkins/ssh-slave는 패치가 제공되지 않으며 즉시 사용 중단 후 마이그레이션 권고- Jenkins 관리자 및 DevOps 팀은 기존 이미지 버전 확인 및 최신 보안 이미지로 업데이트 필수
- 보안 유지 보수 지원이 가능한 Jenkins 이미지로의 전환은 필수적인 보안 대응 전략
- 결론
- Jenkins Docker 이미지의 SSH 키 재사용은 CI/CD 환경에서의 인증 구조 신뢰성을 약화시키는 중대한 보안 이슈
- 구형 이미지에 대한 사용 중단 및 신규 보안 정책에 따른 이미지 관리 전략이 필수적이며
- 지속적인 보안 점검, 이미지 스캐닝, 키 관리 정책 수립을 통해 유사 사고 방지를 위한 선제 대응이 필요함