CVE-2026-5752: Cohere AI Terrarium 샌드박스 탈출 취약점 분석

취약점 개요

CVE-2026-5752는 Cohere AI의 오픈소스 파이썬 샌드박스인 Terrarium에서 발견된 치명적인 샌드박스 탈출 취약점이다. 이 취약점은 CVSS v3.1 기준 9.3점(Critical)으로 평가되었으며, 무권한 사용자가 호스트 시스템에서 루트 권한으로 임의 코드를 실행할 수 있게 한다.

• CVE ID: CVE-2026-5752
• CVSS 점수: 9.3 (Critical)
• 영향 시스템: Cohere AI Terrarium Sandbox v1.0.1 미만의 모든 버전
• 취약점 유형: 샌드박스 탈출, 임의 코드 실행, 권한 상승
• 공개일: 2026년 4월 21일 (CERT/CC VU#414811)
• 패치 상태: v1.0.1로 패치 배포됨 (2026년 4월 22일)

기술적 분석

취약점 원인

Terrarium은 LLM이 생성한 신뢰할 수 없는 코드를 안전하게 실행하기 위해 설계된 Docker 기반 파이썬 샌드박스 환경이다. 이 샌드박스는 Pyodide/WebAssembly 런타임을 사용하여 격리된 환경에서 코드를 실행하도록 설계되었다.

취약점의 핵심 원인은 service.ts 파일에 정의된 mock document 객체가 순수 JavaScript 객체 리터럴로 구현되어 있다는 점이다. 이 객체는 Object.prototype을 상속받기 때문에, 공격자가 JavaScript 프로토타입 체인을 탐색하여 샌드박스 경계를 우회할 수 있다.

공격 시나리오

1. 프로토타입 체인 탐색: 공격자는 mock document 객체의 프로토타입 체인을 따라 올라가 Object.prototype에 도달
2. Function 생성자 접근: Object.prototype을 통해 Function 생성자에 접근
3. globalThis 재구성: Function 생성자를 사용하여 샌드박스 외부의 globalThis 객체 재구성
4. require() 함수 접근: globalThis를 통해 Node.js의 require() 함수 접근
5. child_process 실행: require("child_process")를 호출하여 호스트 시스템에서 임의 명령 실행
6. 루트 권한 획득: Docker 컨테이너가 루트 권한으로 실행되는 경우, 호스트 시스템에서도 루트 권한 획득

이 공격 경로는 별도의 권한이나 사용자 상호작용 없이 자동화된 공격이 가능하다.

영향 범위 및 위험도

영향 범위

• 직접 영향: Terrarium을 사용하여 LLM 생성 코드를 실행하는 모든 시스템
• 간접 영향: Terrarium을 통합한 AI 서비스 및 애플리케이션
• 잠재적 영향: Terrarium 코드베이스에서 파생된 다른 샌드박스 구현

위험도 평가

실제 위험 시나리오

1. 데이터 유출: 공격자가 호스트 시스템의 모든 파일에 접근하여 민감한 데이터 유출
2. 랜섬웨어 배포: 호스트 시스템과 연결된 네트워크 전체에 랜섬웨어 전파
3. 크리더셜 탈취: SSH 키, API 키, 데이터베이스 자격증명 탈취
4. 악성코드 설치: 백도어 설치 및 지속적인 접근 확보
5. 공급망 공격: Terrarium을 사용하는 AI 서비스를 통해 하위 시스템 감염

대응 방안

긴급 대응 (24시간 이내)

1. 패치 v1.0.1 즉시 적용: Terrarium을 v1.0.1로 업그레이드 (2026년 4월 22일 배포)
2. Terrarium 사용 중지: 패치 적용 시까지 Terrarium 샌드박스를 중지하고 관련 서비스 비활성화
3. 영향 범위 확인: Terrarium을 사용하는 모든 시스템과 서비스 식별
4. 접근 제어 강화: Terrarium이 실행되는 호스트 시스템의 네트워크 접근 제한
5. 보안 로그 검토: 의심스러운 활동이나 권한 상승 시도 탐지
6. 이해관계자 통보: 보안 팀, 운영 팀, 경영진에 즉시 보고

단기 대응 (72시간 이내)

1. 패치 적용 완료: 영향받는 모든 시스템에 v1.0.1 패치 적용 완료 확인
2. 대안 솔루션 평가: 다른 샌드박스 기술 혹은 코드 실행 환경 검토
3. 임시 완화 조치: Terrarium을 사용해야 하는 경우 격리된 네트워크에서만 실행
4. 백업 확인: 영향받는 시스템의 최신 백업 상태 확인
5. 인시던트 대응 계획: 보안 사고 발생 시 대응 절차 준비

장기 대응 (1주 이내)

1. 대체 솔루션 도입: 유지보수가 중단된 Terrarium 대신 더 안전한 샌드박스 기술로의 이전 고려
2. 아키텍처 재검토: 샌드박스 아키텍처 보안 강화 방안 검토
3. 대체 솔루션 도입: 더 안전한 샌드박스 기술로의 이전 고려
4. 보안 훈련: 개발팀 및 운영팀 대상 샌드박스 보안 교육
5. 정책 개정: 신뢰할 수 없는 코드 실행에 대한 보안 정책 강화

중요: 프로젝트 유지보수 상태

주의: v1.0.1 패치는 이 프로젝트의 마지막 릴리스이며, 이후 유지보수는 중단되었습니다. Terrarium의 장기적인 사용은 권장되지 않으며, 더 안전하고 유지보수가 활발한 대안 샌드박스 솔루션으로의 마이그레이션을 강력히 권장합니다.

패치 검증 방법

사전 준비

1. 테스트 환경 구축: 운영 환경과 동일한 테스트 환경 준비
2. 백업 생성: 패치 적용 전 전체 시스템 백업
3. 롤백 계획: 패치 실패 시 즉시 복구할 수 있는 절차 준비

패치 적용 절차

1. 공식 패치 확인: GitHub 레포지토리에서 v1.0.1 패치 출시 확인
2. 패치 다운로드: GitHub 저장소에서 v1.0.1 릴리스 다운로드
3. 서비스 중지: Terrarium 관련 서비스 안전 중지
4. 패치 적용: 지침에 따라 v1.0.1 패치 적용
5. 서비스 재시작: Terrarium 서비스 재시작

검증 절차

1. 버전 확인: 패치가 올바르게 적용되었는지 버전 확인 (v1.0.1)
2. 취약점 재현 시도: CVE-2026-5752 공격 시나리오로 테스트
3. 정상 동작 확인: 일반적인 코드 실행이 정상적으로 동작하는지 확인
4. 로그 모니터링: 이상 징후가 없는지 보안 로그 확인
5. 성능 테스트: 패치 후 성능 저하가 없는지 확인

성공 기준

• CVE-2026-5752 공격 시나리오가 차단됨
• 기존 기능이 정상적으로 동작함
• 보안 로그에 의심스러운 활동이 없음
• 시스템 성능에 영향이 없음

벤더 권고사항

Cohere AI 권고사항

1. 즉시 업그레이드: 패치가 배포되는 즉시 최신 버전으로 업그레이드
2. 최소 권한 원칙: Terrarium을 루트 권한이 아닌 일반 사용자 권한으로 실행
3. 네트워크 격리: Terrarium을 격리된 네트워크 환경에서만 실행
4. 정기 업데이트: 보안 패치를 포함한 최신 버전 유지
5. 보안 모니터링: 활동 로그를 정기적으로 검토

추가 보안 권고사항

1. 다중 계층 방어: 샌드박스 외부에도 추가적인 보안 계층 구현
2. 코드 검토: LLM 생성 코드를 실행 전 정적 분석 수행
3. 리소스 제한: CPU, 메모리, 디스크 사용량 제한
4. 시간 제한: 코드 실행 시간 제한 설정
5. 네트워크 제한: 외부 네트워크 접근 차단

참고자료

• CERT/CC Vulnerability Note: VU#414811 - Terrarium contains a vulnerability that allows arbitrary code execution
• CVE Record: CVE-2026-5752
• GitHub Security Advisory: GHSA-3wxm-55r9-54xv
• GitHub Release: Cohere AI Terrarium v1.0.1 (2026-04-22)
• Cohere AI Terrarium GitHub Repository
• Reddit Discussion: CVE-2026-5752 security analysis
• SecOpsDaily: Terrarium sandbox flaw enables root code execution

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.