Kubernetes je postao daleko najpopularniji sustav kontejnera u oblaku. Tako zapravo bilo je samo pitanje vremena kad će biti otkrivena njegova prva velika sigurnosna greška.
Tako je i bilo, jer nedavno Prva velika sigurnosna greška u Kubernetesu objavljena je pod CVE-2018-1002105, poznat i kao neuspjeh eskalacije privilegija.
Ova velika pogreška u Kubernetesu predstavlja problem jer je kritična sigurnosna rupa CVSS 9.8. U slučaju prve velike Kubernetesove sigurnosne greške.
Pojedinosti o pogrešci
Pomoću posebno dizajnirane mreže zahtjeva svaki korisnik može uspostaviti vezu putem s poslužitelja sučelja za programiranje aplikacija (API) Kubernetes na pozadinski poslužitelj.
Jednom uspostavljena, napadač može poslati proizvoljne zahtjeve putem mrežne veze izravno na tu pozadinu u kojem je cijelo vrijeme cilj taj poslužitelj.
Ovi su zahtjevi ovjereni s TLS vjerodajnicama (Transport Layer Security) s Kubernetes API poslužitelja.
Još gore, u zadanoj konfiguraciji, svi korisnici (provjereni ili ne) mogu pokretati pozive za otkrivanje API-ja koji napadaču omogućuju eskalaciju privilegija.
Uz to, onda svatko tko zna tu rupu može iskoristiti priliku i preuzeti zapovjedništvo nad svojim grozdom Kubernetes.
Trenutno ne postoji jednostavan način za otkrivanje je li ta ranjivost korištena ranije.
Kako se neovlašteni zahtjevi upućuju putem uspostavljene veze, oni se ne pojavljuju u zapisnicima revizije poslužitelja Kubernetes API-ja ili u zapisniku poslužitelja.
Zahtjevi se pojavljuju u zapisnicima kubeleta ili skupnom API poslužitelju, ali razlikuju se od ispravno odobrenih i proxy zahtjeva putem Kubernetes API poslužitelja.
Zlostavljanje ovu novu ranjivost u Kubernetesu ne bi ostavljao očite tragove u zapisnicima, pa je sada, kad je Kubernetesova kuga izložena, samo pitanje vremena kada će se upotrijebiti.
Drugim riječima, Red Hat je rekao:
Nedostatak eskalacije privilegija omogućuje neovlaštenom korisniku stjecanje potpunih administratorskih privilegija na bilo kojem računarskom čvoru pokrenutom u Kubernetesovom podu.
Ovo nije samo krađa ili otvaranje za ubrizgavanje zlonamjernog koda, već također može smanjiti uslugu aplikacija i proizvodnje unutar vatrozida organizacije.
Bilo koji program, uključujući Kubernetes, ranjiv je. Kubernetes distributeri već objavljuju popravke.
Red Hat izvještava da su to pogođeni svi proizvodi i usluge zasnovani na Kubernetesu, uključujući Red Hat OpenShift Container Platform, Red Hat OpenShift Online i Red Hat OpenShift Dedicated.
Red Hat počeo je pružati zakrpe i ažuriranja usluga pogođenim korisnicima.
Koliko je poznato, još nitko nije iskoristio sigurnosni proboj za napad. Darren Shepard, glavni arhitekt i suosnivač laboratorija Rancher, otkrio je grešku i prijavio je pomoću postupka izvještavanja o ranjivosti Kubernetesa.
Kako ispraviti ovu grešku?
Srećom, ispravak ove programske pogreške već je objavljen.. U kojoj samo zatražio da izvrši nadogradnju Kubernetesa tako da mogu odabrati neke od zakrpanih verzija Kubernetes v1.10.11, v1.11.5, v1.12.3 i v1.13.0-RC.1.
Dakle, ako i dalje koristite bilo koju verziju Kubernetes v1.0.x-1.9.x, preporučuje se nadogradnja na fiksnu verziju.
Ako iz nekog razloga ne mogu ažurirati Kubernetes i žele zaustaviti ovaj neuspjeh, potrebno je da izvrše sljedeći postupak.
Trebali biste prestati koristiti API agregata poslužitelja ili ukloniti dozvole pod exec / attach / portforward za korisnike koji ne bi trebali imati puni pristup API-ju kubelet.
Jordan Liggitt, Googleov softverski inženjer koji je otklonio bug, rekao je da će te mjere vjerojatno biti štetne.
Dakle, jedino pravo rješenje protiv ove sigurnosne greške je izvršiti odgovarajuće ažuriranje Kubernetesa.