Kubernetes je postao daleko najpopularniji sistem kontejnera u oblaku. Pa zapravo bilo je samo pitanje vremena kada će biti otkrivena njegova prva velika sigurnosna greška.
Tako je i bilo, jer nedavno Prva velika sigurnosna greška u Kubernetesu objavljena je pod CVE-2018-1002105, poznat i kao neuspjeh eskalacije privilegija.
Ova velika pogreška u Kubernetesu predstavlja problem jer je kritična sigurnosna rupa CVSS 9.8. U slučaju prve velike Kubernetesove sigurnosne greške.
Detalji greške
Pomoću posebno dizajnirane mreže zahtjeva svaki korisnik može uspostaviti vezu putem sa servera interfejsa za programiranje aplikacija (API) Kubernetes na pozadinski poslužitelj.
Jednom uspostavljena, napadač može poslati proizvoljne zahtjeve putem mrežne veze izravno na tu pozadinu u kojem je cijelo vrijeme cilj taj server.
Ovi zahtjevi su ovjereni TLS vjerodajnicama (Sigurnost transportnog sloja) Kubernetes API poslužitelja.
Još gore, u zadanoj konfiguraciji, svi korisnici (ovjereni ili ne) mogu pokretati pozive za otkrivanje API-ja koji napadaču omogućuju eskalaciju privilegija.
Pa onda, svako ko zna tu rupu može iskoristiti priliku i preuzeti komandu nad svojim Kubernetesovim jatom.
Trenutno ne postoji jednostavan način za otkrivanje da li je ova ranjivost korištena ranije.
Kako se neovlašteni zahtjevi postavljaju preko uspostavljene veze, oni se ne pojavljuju u zapisnicima revizije poslužitelja Kubernetes API-ja ili u zapisniku poslužitelja.
Zahtjevi se pojavljuju u zapisnicima kubeleta ili skupnom API poslužitelju, ali se razlikuju od pravilno ovlaštenih i proxy zahtjeva putem Kubernetes API poslužitelja.
Zlostavljanje ovu novu ranjivost u Kubernetesu ne bi ostavljao očigledne tragove u zapisnicima, tako da je sada, kada je Kubernetesova buba izložena, samo pitanje vremena kada će se upotrijebiti.
Drugim riječima, Red Hat je rekao:
Nedostatak eskalacije privilegija omogućava bilo kojem neovlaštenom korisniku da stekne potpune administratorske privilegije na bilo kojem računarskom čvoru pokrenutom u Kubernetesovom podu.
Ovo nije samo krađa ili otvaranje za ubrizgavanje zlonamjernog koda, već može smanjiti i aplikativne i proizvodne usluge u zaštitnom zidu organizacije.
Bilo koji program, uključujući Kubernetes, je ranjiv. Kubernetes distributeri već objavljuju popravke.
Red Hat izvještava da su to pogođeni svi proizvodi i usluge zasnovani na Kubernetesu, uključujući Red Hat OpenShift Container Platform, Red Hat OpenShift Online i Red Hat OpenShift Dedicated.
Red Hat je počeo pružati zakrpe i ažuriranja usluga pogođenim korisnicima.
Koliko je poznato, još niko nije iskoristio proboj sigurnosti za napad. Darren Shepard, glavni arhitekta i suosnivač laboratorija Rancher, otkrio je grešku i prijavio je koristeći postupak izvještavanja o ranjivosti Kubernetesa.
Kako ispraviti ovu grešku?
Srećom, ispravka za ovu grešku je već objavljena.. U kojoj samo od njih se traži da izvrše ažuriranje Kubernetesa tako da mogu odabrati neke od zakrpanih verzija Kubernetes v1.10.11, v1.11.5, v1.12.3 i v1.13.0-RC.1.
Dakle, ako i dalje koristite bilo koju verziju Kubernetes v1.0.x-1.9.x, preporučuje se nadogradnja na fiksnu verziju.
Ako iz nekog razloga ne mogu ažurirati Kubernetes i žele zaustaviti ovaj neuspjeh, potrebno je da izvrše sljedeći postupak.
Trebali biste prestati koristiti API agregata poslužitelja ili ukloniti dozvole pod exec / attach / portforward za korisnike koji ne bi trebali imati puni pristup API-ju kubelet.
Jordan Liggitt, Googleov softverski inženjer koji je otklonio tu grešku, rekao je da će te mjere vjerovatno biti štetne.
Dakle, jedino pravo rješenje protiv ove sigurnosne greške je izvršiti odgovarajuće ažuriranje Kubernetesa.