أصبح نظام Kubernetes أكثر أنظمة الحاويات السحابية شيوعًا. في الواقع كانت مسألة وقت فقط حتى تم اكتشاف أول عيب أمني كبير لديه.
وهكذا كان الأمر كذلك مؤخرًا تم إصدار أول ثغرة أمنية كبيرة في Kubernetes بموجب CVE-2018-1002105، المعروف أيضًا باسم فشل تصعيد الامتياز.
هذا الخلل الرئيسي في Kubernetes يمثل مشكلة لأنه يمثل ثغرة أمنية خطيرة في CVSS 9.8. في حالة حدوث أول ثغرة أمنية كبيرة في Kubernetes.
تفاصيل الخطأ
باستخدام شبكة طلب مصممة خصيصًا ، يمكن لأي مستخدم إنشاء اتصال من خلال من خادم واجهة برمجة التطبيقات (API) Kubernetes إلى خادم خلفي.
بمجرد التأسيس ، يمكن للمهاجم إرسال طلبات عشوائية عبر اتصال الشبكة مباشرة إلى تلك الخلفية حيث يكون الهدف في جميع الأوقات هو ذلك الخادم.
تمت مصادقة هذه الطلبات باستخدام بيانات اعتماد TLS (أمان طبقة النقل) لخادم Kubernetes API.
والأسوأ من ذلك ، في التكوين الافتراضي ، يمكن لجميع المستخدمين (المصادق عليهم أم لا) تشغيل استدعاءات اكتشاف واجهة برمجة التطبيقات التي تسمح للمهاجم بتصعيد الامتياز هذا.
بعد ذلك ، يمكن لأي شخص يعرف هذه الحفرة أن ينتهز الفرصة لتولي قيادة مجموعة Kubernetes الخاصة بهم.
في الوقت الحالي ، لا توجد طريقة سهلة لاكتشاف ما إذا تم استخدام هذه الثغرة الأمنية مسبقًا.
نظرًا لأنه يتم إجراء الطلبات غير المصرح بها عبر اتصال قائم ، فإنها لا تظهر في سجلات تدقيق خادم Kubernetes API أو سجل الخادم.
تظهر الطلبات في سجلات kubelet أو خادم API المجمع، ولكن يتم تمييزها عن طلبات الوكيل والمصرح بها بشكل صحيح من خلال خادم Kubernetes API.
إساءة هذه الثغرة الأمنية الجديدة في Kubernetes لن تترك آثارًا واضحة في السجلات ، لذا بعد أن تم الكشف عن خطأ Kubernetes ، فإنها مجرد مسألة وقت حتى يتم استخدامها.
بعبارة أخرى ، قال ريد هات:
يسمح خطأ تصعيد الامتياز لأي مستخدم غير مصرح له بالحصول على امتيازات المسؤول الكاملة على أي عقدة حوسبة تعمل في لوحة Kubernetes.
هذه ليست مجرد سرقة أو فتح لإدخال تعليمات برمجية ضارة ، بل يمكنها أيضًا تقليل خدمات التطبيق والإنتاج داخل جدار حماية المؤسسة.
أي برنامج ، بما في ذلك Kubernetes ، معرض للخطر. يقوم موزعو Kubernetes بالفعل بإصدار إصلاحات.
ذكرت Red Hat أن جميع منتجاتها وخدماتها المستندة إلى Kubernetes بما في ذلك Red Hat OpenShift Container Platform و Red Hat OpenShift Online و Red Hat OpenShift Dedicated قد تأثرت.
بدأت Red Hat في توفير تصحيحات وتحديثات الخدمة للمستخدمين المتأثرين.
بقدر ما هو معروف ، لم يستخدم أحد الخرق الأمني للهجوم حتى الآن. اكتشف Darren Shepard ، كبير المهندسين والمؤسس المشارك لمختبر Rancher ، الخطأ وأبلغ عنه باستخدام عملية الإبلاغ عن الثغرات الأمنية Kubernetes.
كيف تصحح هذا الخطأ؟
لحسن الحظ ، تم بالفعل إصدار إصلاح لهذا الخطأ.. فيها فقط طُلب منهم إجراء تحديث لبرنامج Kubernetes حتى يتمكنوا من اختيار بعض إصدارات Kubernetes المصححة v1.10.11 و v1.11.5 و v1.12.3 و v1.13.0-RC.1.
لذلك إذا كنت لا تزال تستخدم أيًا من إصدارات Kubernetes v1.0.x-1.9.x ، فمن المستحسن أن تقوم بالترقية إلى إصدار ثابت.
إذا لم يتمكنوا من تحديث Kubernetes لسبب ما وهم يريدون وقف هذا الفشل ، لا بد من القيام بالعملية التالية.
يجب عليك التوقف عن استخدام واجهة برمجة التطبيقات لتجميعات الخادم أو إزالة أذونات pod exec / attach / portforward للمستخدمين الذين لا ينبغي أن يكون لديهم وصول كامل إلى واجهة برمجة تطبيقات kubelet.
وقال جوردان ليجيت ، مهندس برمجيات جوجل الذي أصلح الخطأ ، إن هذه الإجراءات من المرجح أن تكون ضارة.
لذا فإن الحل الحقيقي الوحيد ضد هذا الخلل الأمني هو إجراء تحديث Kubernetes المقابل.