מתגלה פגם האבטחה הראשון בקוברנטס

Darkcrizt

3 דקות

לוגו kubernetes

Kubernetes הפכה ללא ספק למערכת מכולות הענן הפופולארית ביותר. אז בעצם זה היה רק ​​עניין של זמן עד שיתגלה פגם האבטחה הגדול הראשון שלו.

וכך היה, כי לאחרונה הפגם הביטחוני הגדול הראשון בקוברנטס שוחרר במסגרת CVE-2018-1002105, הידוע גם ככישלון בהסלמת הרשאות.

הפגם העיקרי הזה בקוברנטס הוא בעיה מכיוון שהוא חור אבטחה קריטי CVSS 9.8. במקרה של הפגם הביטחוני הגדול ביותר בקוברנטס.

פרטי שגיאה

עם רשת בקשות שתוכננה במיוחד, כל משתמש יכול ליצור חיבור דרך משרת ממשק תכנות היישומים (API) Kubernetes לשרת backend.

לאחר שהוקמה, תוקף יכול לשלוח בקשות שרירותיות דרך חיבור הרשת ישירות לאותו backend אשר בכל עת המטרה היא שרת זה.

בקשות אלה מאומתות באמצעות אישורי TLS (Transport Layer Security) משרת ה- API של Kubernetes.

גרוע מכך, בתצורת ברירת המחדל, כל המשתמשים (מאומתים או לא) יכולים להפעיל שיחות גילוי API המאפשרות הסלמת הרשאות זו על ידי התוקף.

אז אם כן, כל מי שמכיר את החור הזה יכול לנצל את ההזדמנות לקחת פיקוד על אשכול Kubernetes שלהם.

כרגע אין דרך קלה לזהות אם נעשה שימוש בעבר בפגיעות זו.

מכיוון שבקשות לא מורשות מתבצעות באמצעות חיבור מבוסס, הן אינן מופיעות ביומני ביקורת שרת ה- Kubernetes או ביומן השרת.

Kubernetes_Security

בקשות מופיעות ביומני kubelet או בשרת ה- API המצרפי, אך הם נבדלים מבקשות מורשות כראוי ומפרוקסי דרך שרת ה- API של Kubernetes.

התעללות את הפגיעות החדשה הזו בקוברנטס זה לא ישאיר עקבות ברורים ביומנים, כך שכעת שנחשף הבאג של קוברנטס, זה רק עניין של זמן עד שייעשה בו שימוש.

במילים אחרות, רד האט אמר:

פגם בהסלמת הרשאות מאפשר לכל משתמש לא מורשה לקבל הרשאות מנהל מלאות בכל צומת חישוב הפועל בתרמיל Kubernetes.

זה לא רק גניבה או פתיחה להזרקת קוד זדוני, זה יכול גם להפחית את שירותי היישומים והייצור בתוך חומת האש של הארגון.

כל תוכנית, כולל Kubernetes, פגיעה. מפיצי Kubernetes כבר משחררים תיקונים.

רד האט מדווחת כי כל המוצרים והשירותים מבוססי Kubernetes, כולל פלטפורמת המיכל של Red Hat OpenShift, Red Hat OpenShift Online ו- Red Hat OpenShift Dedicated מושפעים.

רד האט החלה לספק טלאים ועדכוני שירות למשתמשים שנפגעו.

ככל הידוע, איש עדיין לא השתמש בהפרת האבטחה כדי לתקוף. דארן שפרד, אדריכל ראשי ומייסד משותף של מעבדת ראנצ'ר, גילה את הבאג ודיווח עליו באמצעות תהליך דיווח הפגיעות של Kubernetes.

כיצד לתקן תקלה זו?

למרבה המזל, תיקון לבאג זה כבר פורסם. באיזה בלבד הם מתבקשים לבצע עדכון של Kubernetes כדי שיוכלו לבחור בכמה מגרסאות התיקון של Kubernetes v1.10.11, v1.11.5, v1.12.3 ו- v1.13.0-RC.1.

כך שאם אתה עדיין משתמש באחת מגרסאות Kubernetes v1.0.x-1.9.x, מומלץ לשדרג לגרסה קבועה.

אם מסיבה כלשהי הם לא יכולים לעדכן את Kubernetes והם רוצים לעצור את הכישלון הזה, יש צורך לבצע את התהליך הבא.

עליכם להפסיק להשתמש בממשק ה- API של צבירת השרת או להסיר הרשאות pod exec / attach / portforward עבור משתמשים שלא אמורים לקבל גישה מלאה ל- API של kubelet.

ג'ורדן ליגיט, מהנדס התוכנה של גוגל שתיקן את הבאג, אמר כי צעדים אלה עשויים להזיק.

אז הפיתרון האמיתי היחיד כנגד פגם אבטחה זה הוא לבצע את עדכון Kubernetes המתאים.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.