Kubernetes è diventato di gran lunga il sistema di contenitori cloud più popolare. Quindi in realtà era solo questione di tempo prima che fosse scoperto il suo primo grave difetto di sicurezza.
E così è stato, perché recentemente Il primo grande difetto di sicurezza in Kubernetes è stato rilasciato con CVE-2018-1002105, noto anche come errore di escalation dei privilegi.
Questo grave difetto in Kubernetes è un problema in quanto è un buco di sicurezza critico di CVSS 9.8. In caso del primo grave difetto di sicurezza di Kubernetes.
Dettagli circa l'errore
Con una rete di richiesta appositamente progettata, qualsiasi utente può stabilire una connessione tramite dal server dell'interfaccia di programmazione dell'applicazione (API) Kubernetes a un server backend.
Una volta stabilito, un utente malintenzionato può inviare richieste arbitrarie tramite la connessione di rete direttamente a quel backend in cui l'obiettivo è sempre quel server.
Queste richieste vengono autenticate con le credenziali TLS (Transport Layer Security) dal server API Kubernetes.
Peggio ancora, nella configurazione predefinita, tutti gli utenti (autenticati o meno) possono eseguire chiamate di rilevamento API che consentono l'escalation dei privilegi da parte dell'attaccante.
Quindi, chiunque conosca quel buco può cogliere l'occasione per prendere il comando del proprio cluster Kubernetes.
Al momento non esiste un modo semplice per rilevare se questa vulnerabilità è stata utilizzata in precedenza.
Poiché le richieste non autorizzate vengono effettuate su una connessione stabilita, non vengono visualizzate nei log di controllo del server API Kubernetes o nel log del server.
Le richieste vengono visualizzate nei log di kubelet o nel server API aggregato, ma si distinguono dalle richieste correttamente autorizzate e proxy tramite il server API Kubernetes.
Abuso questa nuova vulnerabilità in Kubernetes non lascerebbe tracce evidenti nei log, quindi ora che il bug di Kubernetes è esposto, è solo questione di tempo prima che venga utilizzato.
In altre parole, Red Hat ha dichiarato:
La falla nell'escalation dei privilegi consente a qualsiasi utente non autorizzato di ottenere privilegi di amministratore completi su qualsiasi nodo di elaborazione in esecuzione in un pod Kubernetes.
Non si tratta solo di un furto o di un'apertura per iniettare codice dannoso, ma può anche ridurre i servizi di applicazione e produzione all'interno del firewall di un'organizzazione.
Qualsiasi programma, incluso Kubernetes, è vulnerabile. I distributori Kubernetes stanno già rilasciando correzioni.
Red Hat segnala che tutti i suoi prodotti e servizi basati su Kubernetes, tra cui Red Hat OpenShift Container Platform, Red Hat OpenShift Online e Red Hat OpenShift Dedicated, sono interessati.
Red Hat ha iniziato a fornire patch e aggiornamenti del servizio agli utenti interessati.
Per quanto ne sappiamo, nessuno ha ancora utilizzato la violazione della sicurezza per attaccare. Darren Shepard, capo architetto e co-fondatore del laboratorio Rancher, ha scoperto il bug e lo ha segnalato utilizzando il processo di segnalazione delle vulnerabilità di Kubernetes.
Come correggere questo difetto?
Fortunatamente, è già stata rilasciata una correzione per questo bug.. In cui solo viene chiesto loro di eseguire un aggiornamento Kubernetes in modo che possano scegliere alcune delle versioni con patch di Kubernetes v1.10.11, v1.11.5, v1.12.3 e v1.13.0-RC.1.
Quindi, se stai ancora utilizzando una delle versioni di Kubernetes v1.0.x-1.9.x, ti consigliamo di eseguire l'aggiornamento a una versione fissa.
Se per qualche motivo non riescono ad aggiornare Kubernetes e vogliono fermare questo fallimento, è necessario che eseguano il seguente processo.
Dovresti smettere di usare l'API di aggregazione del server o rimuovere le autorizzazioni pod exec / attach / portforward per gli utenti che non dovrebbero avere pieno accesso all'API kubelet.
Jordan Liggitt, l'ingegnere del software di Google che ha corretto il bug, ha affermato che tali misure saranno probabilmente dannose.
Quindi l'unica vera soluzione contro questo difetto di sicurezza è aggiornare Kubernetes di conseguenza.