Kuberneteksestä tuli ylivoimaisesti suosituin pilvikonttijärjestelmä. Joten todella oli vain ajan kysymys, kunnes hänen ensimmäinen merkittävä turvallisuusvirhe havaittiin.
Ja niin se oli, koska äskettäin Kubernetesin ensimmäinen merkittävä tietoturva-aukko julkaistiin nimellä CVE-2018-1002105, joka tunnetaan myös nimellä etuoikeuden eskaloinnin epäonnistuminen.
Tämä Kubernetesin merkittävä virhe on ongelma, koska se on kriittinen CVSS 9.8 -turva-aukko. Ensimmäisen suuren Kubernetes-tietoturva-aukon sattuessa.
Virheen yksityiskohdat
Erityisesti suunnitellun pyynnön verkon avulla kuka tahansa käyttäjä voi muodostaa yhteyden kautta sovelluksen ohjelmointirajapinnan palvelimelta (API) Kubernetes taustapalvelimelle.
Kun se on perustettu, hyökkääjä voi lähettää mielivaltaisia pyyntöjä verkkoyhteyden kautta suoraan kyseiselle backendille jossa tavoitteena on aina palvelin.
Nämä pyynnöt todennetaan TLS-tunnistetiedoilla (Transport Layer Security) Kubernetes API -palvelimelta.
Mikä vielä pahempaa, oletusasetuksissa kaikki käyttäjät (todennetut tai ei) voivat suorittaa API-etsintäkutsuja, jotka mahdollistavat hyökkääjän tämän oikeuden laajentamisen.
Silloin kuka tahansa, joka tuntee tuon aukon, voi käyttää tilaisuutta hallita Kubernetes-klusteriaan.
Tällä hetkellä ei ole helppoa tapaa havaita, onko tätä heikkoutta käytetty aiemmin.
Koska luvattomat pyynnöt tehdään vakiintuneen yhteyden kautta, niitä ei näy Kubernetes API -palvelimen tarkastuslokeissa tai palvelinlokissa.
Pyynnöt näkyvät yhdistetyssä API-palvelimessa tai kubelet-lokissa, mutta ne erotetaan oikein valtuutetuista ja välityspalvelupyynnöistä Kubernetes API -palvelimen kautta.
Väärinkäyttö tämä uusi haavoittuvuus Kubernetesissa se ei jättäisi näkyviä jälkiä lokiin, joten nyt kun Kubernetes-vika on paljastettu, on vain ajan kysymys, kunnes sitä käytetään.
Toisin sanoen Red Hat sanoi:
Etuoikeuden eskalointivirhe antaa luvattomalle käyttäjälle mahdollisuuden saada täydet järjestelmänvalvojan oikeudet mille tahansa Kubernetes-podissa käynnissä olevalle laskussolmulle.
Tämä ei ole vain varkaus tai avaaminen haitallisen koodin lisäämiseksi, se voi myös vähentää organisaation palomuurin sovellus- ja tuotantopalveluja.
Kaikki ohjelmat, Kubernetes mukaan lukien, ovat haavoittuvia. Kubernetes-jälleenmyyjät julkaisevat jo korjauksia.
Red Hat kertoo, että kaikki Kubernetes-pohjaiset tuotteet ja palvelut, mukaan lukien Red Hat OpenShift Container Platform, Red Hat OpenShift Online ja Red Hat OpenShift Dedicated, vaikuttavat.
Red Hat alkoi tarjota korjauksia ja palvelupäivityksiä käyttäjille, joita asia koskee.
Sikäli kuin tiedetään, kukaan ei vielä käyttänyt tietoturvaloukkausta hyökkäykseen. Rancher-laboratorion pääarkkitehti Darren Shepard löysi virheen ja ilmoitti siitä Kubernetes-haavoittuvuusraportointiprosessin avulla.
Kuinka korjata tämä vika?
Onneksi tämän virheen korjaus on jo julkaistu.. Missä vain heitä pyydetään suorittamaan Kubernetes-päivitys joten he voivat valita joitain Kubernetes-korjaustiedostoja v1.10.11, v1.11.5, v1.12.3 ja v1.13.0-RC.1.
Joten jos käytät edelleen jotain Kubernetes v1.0.x-1.9.x -versiosta, on suositeltavaa päivittää kiinteään versioon.
Jos jostain syystä he eivät voi päivittää Kubernetesia ja he haluavat lopettaa tämän epäonnistumisen, on välttämätöntä, että he suorittavat seuraavan prosessin.
Sinun tulee lopettaa palvelimen aggregaattien sovellusliittymän käyttö tai poistaa pod exec / attach / portforward -käyttöoikeudet käyttäjille, joilla ei pitäisi olla täydellistä käyttöoikeutta kubelet-sovellusliittymään.
Vian korjannut Google-ohjelmistosuunnittelija Jordan Liggitt sanoi, että nämä toimenpiteet ovat todennäköisesti haitallisia.
Joten ainoa todellinen ratkaisu tätä suojausvirhettä vastaan on suorittaa vastaava Kubernetes-päivitys.