पहले कुबेरनेट्स सुरक्षा दोष की खोज की जाती है

कुबेरनेट्स अब तक का सबसे लोकप्रिय क्लाउड कंटेनर सिस्टम बन गया। तो वास्तव में यह केवल उस समय तक का मामला था जब तक कि उनकी पहली बड़ी सुरक्षा खामी का पता नहीं चला।

और इसलिए यह था, क्योंकि हाल ही में कुबेरनेट्स में पहला बड़ा सुरक्षा दोष CVE-2018-1002105 के तहत जारी किया गया था, जिसे विशेषाधिकार वृद्धि विफलता के रूप में भी जाना जाता है।

कुबेरनेट्स में यह प्रमुख दोष एक समस्या है क्योंकि यह एक महत्वपूर्ण सीवीएसएस 9.8 सुरक्षा छेद है। पहले प्रमुख कुबेरनेट्स सुरक्षा दोष की स्थिति में।

त्रुटि का विवरण

विशेष रूप से डिज़ाइन किए गए अनुरोध नेटवर्क के साथ, कोई भी उपयोगकर्ता के माध्यम से एक कनेक्शन स्थापित कर सकता है अनुप्रयोग प्रोग्रामिंग इंटरफ़ेस सर्वर से (एपीआई) एक बैकएंड सर्वर पर कुबेरनेट्स।

एक बार स्थापित, एक हमलावर उस बैकएंड पर सीधे नेटवर्क कनेक्शन पर मनमाने अनुरोध भेज सकता है जिसमें हर समय उद्देश्य वह सर्वर होता है।

ये अनुरोध टीएलएस क्रेडेंशियल्स के साथ प्रमाणित हैं (ट्रांसपोर्ट लेयर सिक्योरिटी) Kubernetes API सर्वर से।

डिफ़ॉल्ट कॉन्फ़िगरेशन में इससे भी बदतर, सभी उपयोगकर्ता (प्रमाणित या नहीं) एपीआई खोज कॉल चला सकते हैं जो हमलावर द्वारा इस विशेषाधिकार वृद्धि के लिए अनुमति देते हैं।

तो, जो कोई भी जानता है कि छेद अपने कुबेरनेट क्लस्टर की कमान लेने का अवसर ले सकता है।

फिलहाल यह पता लगाने का कोई आसान तरीका नहीं है कि क्या इस भेद्यता का उपयोग पहले किया गया था।

चूंकि अनधिकृत अनुरोध एक स्थापित कनेक्शन पर किए जाते हैं, वे कुबेरनेट्स एपीआई सर्वर ऑडिट लॉग या सर्वर लॉग में दिखाई नहीं देते हैं।

अनुरोध कुल एपीआई सर्वर या क्यूबलेट लॉग में दिखाई देते हैं, लेकिन वे कुबेरनेट एपीआई सर्वर के माध्यम से ठीक से अधिकृत और प्रॉक्सी अनुरोधों से अलग हैं।

गाली कुबेरनेट्स में यह नई भेद्यता यह लॉग में स्पष्ट निशान नहीं छोड़ेगा, इसलिए अब कुबेरनेट्स बग उजागर हो गया है, यह केवल कुछ समय के लिए उपयोग किया जाता है।

दूसरे शब्दों में, Red Hat ने कहा:

विशेषाधिकार वृद्धि दोष किसी भी अनधिकृत उपयोगकर्ता को कुबेरनेज़ पॉड में चलने वाले किसी भी गणना नोड पर पूर्ण व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देता है।

यह केवल एक चोरी या दुर्भावनापूर्ण कोड को इंजेक्ट करने का उद्घाटन नहीं है, यह एक संगठन के फ़ायरवॉल के भीतर अनुप्रयोग और उत्पादन सेवाओं को भी कम कर सकता है।

कुबेरनेट्स सहित कोई भी कार्यक्रम असुरक्षित है। कुबेरनेट्स वितरक पहले से ही सुधार जारी कर रहे हैं।

Red Hat की रिपोर्ट है कि उसके सभी Kubernetes- आधारित उत्पाद और सेवाएँ जिनमें Red Hat OpenShift कंटेनर प्लेटफ़ॉर्म, Red Hat OpenShift ऑनलाइन और Red Hat OpenShift समर्पित हैं, प्रभावित हैं।

Red Hat ने प्रभावित उपयोगकर्ताओं को पैच और सेवा अद्यतन प्रदान करना शुरू किया।

जहां तक ​​ज्ञात है, किसी ने अभी तक हमला करने के लिए सुरक्षा उल्लंघन का उपयोग नहीं किया। डैरेन शेपर्ड, मुख्य वास्तुकार और रंचर प्रयोगशाला के सह-संस्थापक, ने बग की खोज की और कुबेरनेट्स भेद्यता रिपोर्टिंग प्रक्रिया का उपयोग करके इसकी सूचना दी।

इस गलती को कैसे सुधारा जाए?

सौभाग्य से, इस बग के लिए एक फिक्स पहले ही जारी किया जा चुका है। जिसमें केवल उन्हें कुबेरनेट्स अपडेट करने के लिए कहा जाता है इसलिए वे कुबेरनेट्स के कुछ संस्करणों को v1.10.11, v1.11.5, v1.12.3 और v1.13.0-RC.1 चुन सकते हैं।

इसलिए यदि आप अभी भी Kubernetes v1.0.x-1.9.x संस्करणों में से किसी का उपयोग कर रहे हैं, तो यह अनुशंसा की जाती है कि आप निश्चित संस्करण में अपग्रेड करें।

अगर किसी कारण से वे Kubernetes को अपडेट नहीं कर सकते हैं और वे इस विफलता को रोकना चाहते हैं, यह आवश्यक है कि वे निम्नलिखित प्रक्रिया को पूरा करें।

आपको सर्वर एग्रीगेट एपीआई का उपयोग करना बंद कर देना चाहिए या उन उपयोगकर्ताओं के लिए पॉड एग्जीक्यूटिव / अटैचमेंट / पोर्टफोर्वर्ड परमीशन को हटा देना चाहिए जिनके पास क्यूबलेट एपीआई तक पूरी पहुंच नहीं होनी चाहिए।

बग को ठीक करने वाले Google सॉफ़्टवेयर इंजीनियर जॉर्डन लिग्गिट ने कहा कि वे उपाय संभवतः हानिकारक होंगे।

तो इस सुरक्षा दोष के खिलाफ एकमात्र वास्तविक समाधान संगत कुबेरनेट अपडेट करना है।