Kubernetesest sai ülekaalukalt populaarseim pilvekonteinerite süsteem. Nii et tegelikult see oli ainult aja küsimus, kuni tema esimene suurem turvaviga avastati.
Ja nii oligi, sest hiljuti Kubernetese esimene suurem turvaviga ilmnes CVE-2018-1002105 all, tuntud ka kui privileegi eskaleerimise ebaõnnestumine.
See Kubernetese suur viga on probleem, kuna see on kriitiline CVSS 9.8 turvaauk. Esimese suurema Kubernetese turvavea korral.
Vea üksikasjad
Spetsiaalselt loodud päringuvõrgu abil saab iga kasutaja ühenduse luua rakenduse programmeerimisliidese serverist (API) Kubernetes taustserverisse.
Kui see on loodud, ründaja võib võrguühenduse kaudu meelevaldseid taotlusi saata otse sellele taustaprogrammile mille eesmärk on alati server.
Need taotlused autentitakse TLS-i mandaatidega (Transport Layer Security) Kubernetes API serverist.
Veelgi hullem on see, et vaikekonfiguratsioonis saavad kõik kasutajad (autentitud või mitte) käivitada API-avastuskõnesid, mis võimaldavad ründajal seda õigust laiendada.
Millega siis saab igaüks, kes seda auku tunneb, kasutada võimalust oma Kubernetese klastrit juhtida.
Praegu pole lihtsat viisi tuvastada, kas seda haavatavust on varem kasutatud.
Kuna volitamata taotlusi tehakse üle ühenduse, ei kuvata neid Kubernetes API serveri auditilogides ega serverilogis.
Taotlused ilmuvad koondatud API-serveris või kubelet-logides, kuid neid eristab korralikult volitatud ja puhverserveri päringutest Kubernetes API serveri kaudu.
Kuritarvitamine see uus haavatavus Kubernetes see ei jätaks logidesse ilmseid jälgi, nii et nüüd, kui Kubernetese viga on paljastatud, on selle kasutamiseni vaid aja küsimus.
Teisisõnu ütles Red Hat:
Privileegi eskaleerimisviga võimaldab igal volitamata kasutajal saada täielikud administraatoriõigused kõigil Kubernetes podis töötavatel arvutussõlmedel.
See pole lihtsalt vargus või avamine pahatahtliku koodi sisestamiseks, see võib vähendada ka organisatsiooni tulemüüri rakendus- ja tootmisteenuseid.
Kõik programmid, sealhulgas Kubernetes, on haavatavad. Kubernetese turustajad avaldavad juba parandusi.
Red Hat teatab, et see mõjutab kõiki tema Kubernetesel põhinevaid tooteid ja teenuseid, sealhulgas Red Hat OpenShift Container Platform, Red Hat OpenShift Online ja Red Hat OpenShift Dedicated.
Red Hat hakkas mõjutatud kasutajatele pakkuma parandusi ja teenusevärskendusi.
Niipalju kui teada, ei kasutanud keegi veel turvarikkumist rünnakuks. Peaarhitekt ja Rancheri labori kaasasutaja Darren Shepard avastas vea ja teatas sellest Kubernetes haavatavusest teatamise protsessi kasutades.
Kuidas seda viga parandada?
Õnneks on selle vea parandus juba välja antud.. Milles ainult neil palutakse teha Kubernetese värskendus et nad saaksid valida mõne Kubernetesest lappitud versiooni v1.10.11, v1.11.5, v1.12.3 ja v1.13.0-RC.1.
Nii et kui kasutate endiselt mõnda Kubernetes v1.0.x-1.9.x versiooni, on soovitatav minna üle fikseeritud versioonile.
Kui nad mingil põhjusel ei suuda Kubernetesi värskendada ja nad tahavad selle tõrke lõpetada, on vaja, et nad viiksid läbi järgmise protsessi.
Peaksite lõpetama serveri agregaatide API kasutamise või eemaldama pod exec / attach / portforward õigused kasutajatele, kellel ei peaks olema täielikku juurdepääsu kubelet API-le.
Vea parandanud Google'i tarkvarainsener Jordan Liggitt ütles, et need meetmed on tõenäoliselt kahjulikud.
Nii et ainus tõeline lahendus selle turvavea vastu on vastava Kubernetese värskenduse sooritamine.