最初のKubernetesセキュリティの欠陥が発見されました

Darkcrizt

3分

kubernetes-ロゴ

Kubernetes は、クラウド コンテナー用の最も人気のあるシステムになりました。。 それで実際に 彼の最初の大きなセキュリティ上の欠陥が発見されるまでは時間の問題でした。

そして最近もそうでした Kubernetes における最初の重大なセキュリティ上の欠陥は、CVE-2018-1002105 として公開されました。、権限昇格の失敗とも呼ばれます。

Kubernetes のこの重大な欠陥は、CVSS 9.8 の重大なセキュリティ ホールであるため問題です。 最初の大規模な Kubernetes セキュリティ侵害が発生した場合。

エラーの詳細

特別に設計されたリクエスト ネットワークを使用すると、どのユーザーでも接続を確立できます。 アプリケーション プログラミング インターフェイス サーバー (API) Kubernetes からバックエンド サーバーへ。

一度確立されると、 攻撃者は、ネットワーク接続を介して任意のリクエストをそのバックエンドに直接送信することができます。 その場合、常に目的はそのサーバーです。

これらのリクエストは TLS 資格情報で認証されます (トランスポート層セキュリティ) Kubernetes API サーバーから。

さらに悪いことに、デフォルトでは、すべてのユーザー (認証されているかどうかに関係なく) が、攻撃者によるこの権限昇格を許可する API 検出呼び出しを実行できます。

これにより、その穴について知っている人は誰でも、Kubernetes クラスターを制御できる機会を得ることができます。

現時点では、この脆弱性が以前に使用されたかどうかを検出する簡単な方法はありません。

承認されていないリクエストは確立された接続を介して行われるため、Kubernetes API サーバーの監査ログやサーバー ログには表示されません。

Kubernetes_セキュリティ

リクエストは kubelet または集約 API サーバーのログに表示されますただし、Kubernetes API サーバーを介してプロキシによって送信される正式に承認されたリクエストとは区別されます。

乱用 Kubernetes のこの新しい脆弱性 ログに明らかな痕跡が残らないため、Kubernetes の欠陥が明らかになった今、それが使用されるのは時間の問題です。

つまり、Red Hat は次のように述べています。

権限昇格の欠陥により、権限のないユーザーが Kubernetes ポッド内で実行されているすべての計算ノード上で完全な管理者権限を取得できるようになります。

これは、盗難や悪意のあるコードの挿入につながるだけでなく、組織のファイアウォール内のアプリケーション サービスや運用サービスも低下する可能性があります。

Kubernetes を含むすべてのプログラムには脆弱性があります。 Kubernetes ディストリビュータはすでに修正をリリースしています。

Red Hat は、Red Hat OpenShift Container Platform、Red Hat OpenShift Online、Red Hat OpenShift D dedicated を含む、Kubernetes ベースのすべての製品とサービスが影響を受けると報告しています。」

Red Hat は、影響を受けるユーザーへのパッチとサービスのアップデートの提供を開始しました。

知られている限り、セキュリティ侵害を利用して攻撃を行った人はまだいません。 Rancher 研究所のチーフアーキテクト兼共同創設者である Darren Shepard がこのバグを発見し、Kubernetes 脆弱性報告プロセスを通じて報告しました。

このエラーを修正するにはどうすればよいですか?

幸いなことに、このバグの修正はすでにリリースされています。。 その中でのみ Kubernetes アップグレードの実行を求められました そのため、Kubernetes パッチ v1.10.11、v1.11.5、v1.12.3、および v1.13.0-RC.1 が適用されたバージョンの一部を選択できます。

したがって、Kubernetes v1.0.x ~ 1.9.x バージョンのいずれかをまだ使用している場合は、修正バージョンにアップグレードすることをお勧めします。

何らかの理由で Kubernetes のアップグレードを実行できない場合 この失敗を止めたい場合は、次のプロセスを実行する必要があります。

サーバー集約 API の使用を停止するか、kubelet API への完全なアクセス権を持たないユーザーに対する pod exec /attach /portforward 権限を削除する必要があります。

このバグを修正したグーグルのソフトウェアエンジニア、ジョーダン・リギット氏は、そのような措置はおそらく有害になるだろうと述べた。

したがって、このセキュリティ上の欠陥に対する唯一の本当の解決策は、対応する Kubernetes アップデートを実行することです。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。