Το Kubernetes έγινε μακράν το πιο δημοφιλές σύστημα cloud container. Στην πραγματικότητα ήταν μόνο θέμα χρόνου μέχρι να ανακαλυφθεί το πρώτο μεγάλο ελάττωμα ασφαλείας του.
Και έτσι ήταν, γιατί πρόσφατα Το πρώτο μεγάλο ελάττωμα ασφαλείας στο Kubernetes κυκλοφόρησε στο CVE-2018-1002105, επίσης γνωστή ως αποτυχία κλιμάκωσης προνομίων.
Αυτό το σημαντικό ελάττωμα στο Kubernetes είναι ένα πρόβλημα καθώς είναι ένα κρίσιμο κενό ασφαλείας CVSS 9.8. Σε περίπτωση του πρώτου μεγάλου ελαττώματος ασφαλείας του Kubernetes.
Λεπτομέρειες για το σφάλμα
Με ένα ειδικά σχεδιασμένο δίκτυο αιτήσεων, οποιοσδήποτε χρήστης μπορεί να δημιουργήσει μια σύνδεση μέσω από το διακομιστή διεπαφής προγραμματισμού εφαρμογών (API) Kubernetes σε διακομιστή backend.
Μόλις καθιερωθεί, ένας εισβολέας μπορεί να στείλει αυθαίρετα αιτήματα μέσω της σύνδεσης δικτύου απευθείας σε αυτό το backend στο οποίο ο στόχος είναι ο διακομιστής.
Αυτά τα αιτήματα επικυρώνονται με τα διαπιστευτήρια TLS (Ασφάλεια επιπέδου μεταφοράς) από το διακομιστή Kubernetes API.
Ακόμα χειρότερα, στην προεπιλεγμένη διαμόρφωση, όλοι οι χρήστες (με έλεγχο ταυτότητας ή όχι) μπορούν να εκτελέσουν κλήσεις εντοπισμού API που επιτρέπουν αυτήν την προαγωγή κλιμάκωσης από τον εισβολέα.
Έτσι λοιπόν, όποιος ξέρει ότι η τρύπα μπορεί να πάρει την ευκαιρία να αναλάβει τη διοίκηση του συμπλέγματος Kubernetes.
Προς το παρόν δεν υπάρχει εύκολος τρόπος να εντοπιστεί εάν αυτή η ευπάθεια είχε χρησιμοποιηθεί προηγουμένως.
Καθώς υποβάλλονται μη εξουσιοδοτημένα αιτήματα μέσω μιας καθιερωμένης σύνδεσης, δεν εμφανίζονται στα αρχεία καταγραφής ελέγχου διακομιστή API Kubernetes ή στο αρχείο καταγραφής διακομιστή.
Τα αιτήματα εμφανίζονται στα αρχεία καταγραφής kubelet ή στο συγκεντρωτικό διακομιστή API, αλλά διακρίνονται από κατάλληλα εξουσιοδοτημένα και αιτήματα διακομιστή μεσολάβησης μέσω του διακομιστή API Kubernetes.
Κατάχρηση αυτή η νέα ευπάθεια στο Kubernetes δεν θα άφηνε εμφανή ίχνη στα αρχεία καταγραφής, οπότε τώρα που το σφάλμα Kubernetes είναι εκτεθειμένο, είναι θέμα χρόνου μέχρι να χρησιμοποιηθεί.
Με άλλα λόγια, η Red Hat είπε:
Το ελάττωμα κλιμάκωσης προνομίων επιτρέπει σε οποιονδήποτε μη εξουσιοδοτημένο χρήστη να αποκτήσει πλήρη δικαιώματα διαχειριστή σε οποιονδήποτε κόμβο υπολογιστών που εκτελείται σε ένα pod Kubernetes.
Αυτό δεν είναι απλώς μια κλοπή ή ένα άνοιγμα για την εισαγωγή κακόβουλου κώδικα, αλλά μπορεί επίσης να μειώσει τις υπηρεσίες εφαρμογής και παραγωγής εντός του τείχους προστασίας ενός οργανισμού.
Οποιοδήποτε πρόγραμμα, συμπεριλαμβανομένου του Kubernetes, είναι ευάλωτο. Οι διανομείς της Kubernetes κυκλοφορούν ήδη διορθώσεις.
Η Red Hat αναφέρει ότι επηρεάζονται όλα τα προϊόντα και οι υπηρεσίες που βασίζονται στο Kubernetes, συμπεριλαμβανομένων των Red Hat OpenShift Container Platform, Red Hat OpenShift Online και Red Hat OpenShift Dedicated.
Η Red Hat άρχισε να παρέχει ενημερώσεις κώδικα και ενημερώσεις υπηρεσιών σε χρήστες που επηρεάζονται.
Από ό, τι είναι γνωστό, κανείς δεν χρησιμοποίησε την παραβίαση ασφαλείας για επίθεση ακόμη. Ο Darren Shepard, επικεφαλής αρχιτέκτονας και συνιδρυτής του εργαστηρίου Rancher, ανακάλυψε το σφάλμα και το ανέφερε χρησιμοποιώντας τη διαδικασία αναφοράς ευπάθειας του Kubernetes.
Πώς να διορθώσετε αυτό το σφάλμα;
Ευτυχώς, έχει ήδη κυκλοφορήσει μια επιδιόρθωση για αυτό το σφάλμα.. Στην οποία μόνο τους ζητείται να πραγματοποιήσουν μια ενημέρωση Kubernetes ώστε να μπορούν να επιλέξουν μερικές από τις ενημερωμένες εκδόσεις Kubernetes v1.10.11, v1.11.5, v1.12.3 και v1.13.0-RC.1.
Επομένως, εάν εξακολουθείτε να χρησιμοποιείτε οποιαδήποτε από τις εκδόσεις Kubernetes v1.0.x-1.9.x, συνιστάται να κάνετε αναβάθμιση σε μια σταθερή έκδοση.
Εάν για κάποιο λόγο δεν μπορούν να ενημερώσουν το Kubernetes και θέλουν να σταματήσουν αυτήν την αποτυχία, είναι απαραίτητο να πραγματοποιήσουν την ακόλουθη διαδικασία.
Θα πρέπει να σταματήσετε να χρησιμοποιείτε το API συγκεντρωτικών διακομιστών ή να καταργήσετε δικαιώματα pod exec / attach / portforward για χρήστες που δεν πρέπει να έχουν πλήρη πρόσβαση στο API kubelet.
Ο Jordan Liggitt, μηχανικός λογισμικού της Google που διόρθωσε το σφάλμα, δήλωσε ότι αυτά τα μέτρα πιθανότατα θα είναι επιζήμια.
Έτσι, η μόνη πραγματική λύση ενάντια σε αυτό το ελάττωμα ασφαλείας είναι να εκτελέσετε την αντίστοιχη ενημέρωση Kubernetes.