Sejauh ini, Kubernetes menjadi sistem container cloud yang paling populer. Jadi sebenarnya hanya masalah waktu sampai cacat keamanan besar pertamanya ditemukan.
Dan begitulah, karena baru-baru ini Cacat keamanan utama pertama di Kubernetes dirilis di bawah CVE-2018-1002105, juga dikenal sebagai kegagalan eskalasi hak istimewa.
Cacat utama pada Kubernetes ini adalah masalah karena merupakan celah keamanan CVSS 9.8 yang kritis. Jika terjadi kesalahan keamanan Kubernetes utama yang pertama.
Detail kesalahan
Dengan jaringan permintaan yang dirancang khusus, setiap pengguna dapat membuat sambungan dari server antarmuka pemrograman aplikasi (API) Kubernetes ke server backend.
Setelah didirikan, penyerang dapat mengirim permintaan sewenang-wenang melalui koneksi jaringan langsung ke backend tersebut di mana setiap saat tujuannya adalah server itu.
Permintaan ini diautentikasi dengan kredensial TLS (Transport Layer Security) dari server Kubernetes API.
Lebih buruk lagi, dalam konfigurasi default, semua pengguna (terautentikasi atau tidak) dapat menjalankan panggilan penemuan API yang memungkinkan eskalasi hak istimewa ini oleh penyerang.
Dengan itu, siapapun yang mengetahui lubang tersebut dapat mengambil kesempatan untuk mengambil alih cluster Kubernetes mereka.
Saat ini tidak ada cara mudah untuk mendeteksi apakah kerentanan ini pernah digunakan sebelumnya.
Karena permintaan tidak sah dibuat melalui koneksi yang dibuat, permintaan tersebut tidak muncul di log audit server Kubernetes API atau log server.
Permintaan muncul di server API agregat atau log kubelet, tetapi dibedakan dari permintaan yang diotorisasi dengan benar dan permintaan proxy melalui server API Kubernetes.
Penyalahgunaan kerentanan baru ini di Kubernetes tidak akan meninggalkan jejak yang jelas di log, jadi setelah bug Kubernetes terekspos, tinggal menunggu waktu sampai bug tersebut digunakan.
Dengan kata lain, Red Hat berkata:
Cacat eskalasi hak istimewa memungkinkan setiap pengguna yang tidak sah mendapatkan hak administrator penuh pada setiap node komputasi yang berjalan di pod Kubernetes.
Ini bukan hanya pencurian atau pembukaan untuk memasukkan kode berbahaya, ini juga dapat mengurangi layanan aplikasi dan produksi dalam firewall organisasi.
Program apa pun, termasuk Kubernetes, rentan. Distributor Kubernetes sudah merilis perbaikan.
Red Hat melaporkan bahwa semua produk dan layanan berbasis Kubernetes termasuk Red Hat OpenShift Container Platform, Red Hat OpenShift Online, dan Red Hat OpenShift Dedicated terpengaruh.
Red Hat mulai menyediakan tambalan dan pembaruan layanan untuk pengguna yang terpengaruh.
Sejauh yang diketahui, belum ada yang menggunakan pembobolan keamanan untuk menyerang. Darren Shepard, kepala arsitek dan salah satu pendiri laboratorium Rancher, menemukan bug tersebut dan melaporkannya menggunakan proses pelaporan kerentanan Kubernetes.
Bagaimana cara memperbaiki kesalahan ini?
Untungnya, perbaikan bug ini telah dirilis. Di mana saja diminta untuk melakukan upgrade Kubernetes sehingga mereka dapat memilih beberapa versi yang ditambal Kubernetes v1.10.11, v1.11.5, v1.12.3, dan v1.13.0-RC.1.
Jadi jika Anda masih menggunakan salah satu versi Kubernetes v1.0.x-1.9.x, Anda disarankan untuk meningkatkan ke versi tetap.
Jika karena alasan tertentu mereka tidak dapat memperbarui Kubernetes dan mereka ingin menghentikan kegagalan ini, mereka perlu melakukan proses berikut.
Anda harus berhenti menggunakan API agregat server atau menghapus izin pod exec / attach / portforward untuk pengguna yang seharusnya tidak memiliki akses penuh ke kubelet API.
Jordan Liggitt, insinyur perangkat lunak Google yang memperbaiki bug tersebut, mengatakan tindakan tersebut kemungkinan akan merugikan.
Jadi satu-satunya solusi nyata untuk mengatasi kelemahan keamanan ini adalah dengan melakukan pembaruan Kubernetes yang sesuai.