Kubernetes se stal zdaleka nejoblíbenějším cloudovým kontejnerovým systémem. Takže vlastně byla jen otázka času, než byla objevena jeho první velká bezpečnostní chyba.
A tak tomu bylo, protože nedávno První velká bezpečnostní chyba v Kubernetes byla vydána pod CVE-2018-1002105, známé také jako selhání eskalace oprávnění.
Tato hlavní chyba v Kubernetes je problém, protože se jedná o kritickou bezpečnostní díru CVSS 9.8. V případě první velké bezpečnostní chyby Kubernetes.
Podrobnosti o chybě
Se speciálně navrženou sítí požadavků může každý uživatel navázat spojení prostřednictvím ze serveru aplikačního programovacího rozhraní (API) Kubernetes na back-endový server.
Po založení, útočník může odesílat libovolné požadavky přes síťové připojení přímo do tohoto backendu ve kterém je vždy cílem tento server.
Tyto požadavky jsou ověřeny pomocí pověření TLS (Transport Layer Security) ze serveru API Kubernetes.
Ještě horší je, že ve výchozí konfiguraci mohou všichni uživatelé (ověřeni nebo ne) spustit volání zjišťování API, která umožňují útočníkovi tuto eskalaci oprávnění.
Díky tomu pak každý, kdo zná tuto díru, může využít příležitosti převzít velení nad svým klastrem Kubernetes.
V tuto chvíli neexistuje snadný způsob, jak zjistit, zda byla tato chyba zabezpečení použita dříve.
Vzhledem k tomu, že se prostřednictvím navázaného připojení provádí neoprávněné požadavky, nezobrazí se v protokolech auditu serveru Kubernetes API ani v protokolu serveru.
Požadavky se zobrazují v protokolech kubelet nebo agregovaném serveru API, ale odlišují se od správně autorizovaných a proxy požadavků prostřednictvím serveru API Kubernetes.
Zneužívání tuto novou chybu zabezpečení v Kubernetes nezanechalo by to zjevné stopy v protokolech, takže teď, když je odhalena chyba Kubernetes, je jen otázkou času, než bude použita.
Jinými slovy, Red Hat řekl:
Chyba eskalace oprávnění umožňuje jakémukoli neautorizovanému uživateli získat úplná oprávnění správce pro libovolný výpočetní uzel spuštěný v pod Kubernetes.
Nejde jen o krádež nebo otevření injekce škodlivého kódu, ale také o snížení aplikačních a produkčních služeb v rámci brány firewall organizace.
Jakýkoli program, včetně Kubernetes, je zranitelný. Distributoři Kubernetes již vydávají opravy.
Red Hat hlásí všechny své produkty a služby založené na Kubernetes, včetně Red Hat OpenShift Container Platform, Red Hat OpenShift Online a Red Hat OpenShift Dedicated.
Red Hat začal poskytovat opravy a aktualizace služeb postiženým uživatelům.
Pokud je známo, nikdo k narušení bezpečnosti k útoku ještě nepoužil. Darren Shepard, hlavní architekt a spoluzakladatel laboratoře Rancher, objevil chybu a nahlásil ji pomocí procesu hlášení zranitelnosti Kubernetes.
Jak opravit tuto chybu?
Oprava této chyby již byla naštěstí vydána.. Pouze ve kterém jsou požádáni o provedení aktualizace Kubernetes aby si mohli vybrat některé z opravených verzí Kubernetes v1.10.11, v1.11.5, v1.12.3 a v1.13.0-RC.1.
Takže pokud stále používáte některou z verzí Kubernetes v1.0.x-1.9.x, doporučujeme vám upgradovat na pevnou verzi.
Pokud z nějakého důvodu nemohou aktualizovat Kubernetes a chtějí toto selhání zastavit, je nutné provést následující proces.
Měli byste přestat používat API serverových agregátů nebo odebrat oprávnění pod exec / attach / portforward pro uživatele, kteří by neměli mít plný přístup k API kubelet.
Jordan Liggitt, softwarový inženýr společnosti Google, který chybu opravil, uvedl, že tato opatření budou pravděpodobně škodlivá.
Jediným skutečným řešením proti této bezpečnostní chybě je provést odpovídající aktualizaci Kubernetes.