Kubernetes es va convertir per molt en el sistema més popular dels contenidors en el núvol. Pel que en realitat només era una qüestió de temps fins que la seva primera gran falla de seguretat fora descoberta.
I així va ser, ja que recentment es va donar a conèixer el primer gran error de seguretat a Kubernetes sota el CVE-2018-1002105, També conegut com el fracàs de l'escalada de privilegis.
Aquest gran fallada en Kubernetes és un problema ja que és un forat de seguretat important CVSS 9.8. En el cas que es produeixi la primera gran falla de seguretat de Kubernetes.
Detalls de l'error
Amb una xarxa de sol·licitud especialment dissenyada, qualsevol usuari pot establir una connexió a través de servidor d'interfície de programació d'aplicacions (API) Kubernets a un servidor back-end.
Un cop establert, un atacant pot enviar sol·licituds arbitràries per la connexió de xarxa directament a aquest back-end en el qual en tot moment l'objectiu és aquest servidor.
Aquestes sol·licituds s'autentiquen amb les credencials TLS (Transport Layer Security) de servidor Kubernetes API.
Pitjor encara, en la configuració per defecte, tots els usuaris (autenticats o no) poden executar trucades de descobriment d'API que permeten aquesta escalada de privilegis per part de atacant.
Amb la qual cosa llavors, qualsevol que conegui aquest forat pot aprofitar per assumir el comandament de la seva clúster de Kubernetes.
De moment no hi ha una manera senzilla de detectar si es va utilitzar aquesta vulnerabilitat prèviament.
A mesura que les sol·licituds no autoritzades es realitzen en una connexió establerta, que no apareixen en els registres d'auditoria de servidor de Kubernetes API o el registre de servidor.
Les sol·licituds apareixen en els registres de kubelet o servidor API agregat, Però es distingeixen de les sol·licituds degudament autoritzats i enviats per poder a través de l'servidor API Kubernetes.
abusar de aquesta nova vulnerabilitat en Kubernetes no deixaria empremtes òbvies en els registres, de manera que ara que la sentència de Kubernetes està exposat, és només una qüestió de temps fins que s'utilitzi.
En altres paraules, Red Hat va dir:
La fallada en l'escalonament de privilegis permet a qualsevol usuari no autoritzat, el poder obtenir privilegis totals d'administrador en qualsevol node computacional que s'estigui executant en un pod Kubernetes.
Això no és només un robatori o un obertura per injectar codi maliciós, sinó que també pot reduir els serveis d'aplicació i producció dins de servidor de seguretat d'una organització.
Qualsevol programa, incloent Kubernetes, és vulnerable. Els distribuïdors de Kubernetes ja estan alliberant correccions.
Xarxa Hat informa de tots els seus productes i serveis basats en Kubernetes incloent a Red Hat OpenShift Container Platform, Red Hat OpenShift Online i Xarxa Hat OpenShift Dedicated estan afectats «.
Red Hat va començar a proporcionar pegats i actualitzacions de serveis als usuaris afectats.
Pel que se sap, ningú va utilitzar la bretxa de seguretat per atacar encara. Darren Shepard, arquitecte en cap i cofundador de Rancher laboratory, va descobrir l'error i va informar mitjançant el procés d'informe de la vulnerabilitat de Kubernetes.
Com corregir aquest error?
Afortunadament ja va ser alliberada una correcció per aquesta fallada. En la qual cosa només es demana que realitzin una actualització de Kubernetes pel que poden triar algunes de les versions amb pegats Kubernetes v1.10.11, v1.11.5, v1.12.3 i v1.13.0-RC.1.
Pel que si encara estan utilitzant alguna de les versions de Kubernetes v1.0.x-1.9.x, és recomanable que s'actualitzin a una versió corregida.
Si per algun motiu no poden realitzar l'actualització de Kubernetes i volen aturar aquest error cal que realitzin el següent procés.
Vostès han de deixar d'utilitzar l'API d'agregats de servidors o eliminar els permisos pod exec / attach / portforward a usuaris que no haurien de tenir accés complet a kubelet API.
Jordan Liggitt, l'enginyer de programari de Google que va corregir l'error, va dir que aquestes mesures probablement seran perjudicials.
Pel que l'única solució real contra aquesta fallada de seguretat és realitzar l'actualització corresponent de Kubernetes.