첫 번째 Kubernetes 보안 결함 발견

Darkcrizt

3 분

쿠버네티스 로고

Kubernetes는 지금까지 가장 인기있는 클라우드 컨테이너 시스템이되었습니다.. 그래서 실제로 그의 첫 번째 주요 보안 결함이 발견되는 것은 시간 문제였습니다.

그래서 최근에 Kubernetes의 첫 번째 주요 보안 결함은 CVE-2018-1002105에 따라 릴리스되었습니다., 권한 에스컬레이션 실패라고도합니다.

Kubernetes의이 주요 결함은 중요한 CVSS 9.8 보안 허점이기 때문에 문제입니다. 첫 번째 주요 Kubernetes 보안 결함이있는 경우.

오류에 대한 세부 정보

특별히 설계된 요청 네트워크를 사용하면 모든 사용자가 다음을 통해 연결을 설정할 수 있습니다. 애플리케이션 프로그래밍 인터페이스 서버 (API) Kubernetes를 백엔드 서버에 연결합니다.

일단 설립되면 공격자는 네트워크 연결을 통해 해당 백엔드로 직접 임의의 요청을 보낼 수 있습니다. 항상 목표는 해당 서버입니다.

이러한 요청은 TLS 자격 증명으로 인증됩니다. (전송 계층 보안) Kubernetes API 서버에서.

더 나쁜 것은 기본 구성에서 모든 사용자 (인증 여부에 관계없이)가 공격자에 의한이 권한 에스컬레이션을 허용하는 API 검색 호출을 실행할 수 있다는 것입니다.

그러면 그 구멍을 아는 사람이라면 누구나 Kubernetes 클러스터를 지휘 할 수 있습니다.

현재로서는이 취약점이 이전에 사용되었는지 쉽게 감지 할 수있는 방법이 없습니다.

설정된 연결을 통해 승인되지 않은 요청이 이루어지면 Kubernetes API 서버 감사 로그 또는 서버 로그에 나타나지 않습니다.

Kubernetes_보안

집계 API 서버 또는 kubelet 로그에 요청이 표시됩니다.,하지만 Kubernetes API 서버를 통한 적절한 권한 부여 및 프록시 요청과 구별됩니다.

남용 Kubernetes의이 새로운 취약점 로그에 명백한 흔적을 남기지 않으므로 이제 Kubernetes 버그가 노출되었으므로 사용할 때까지 시간 문제 일뿐입니다.

즉, Red Hat은 다음과 같이 말했습니다.

권한 에스컬레이션 결함으로 인해 권한이없는 사용자는 Kubernetes 포드에서 실행되는 모든 컴퓨팅 노드에 대한 전체 관리자 권한을 얻을 수 있습니다.

이것은 단순히 도난이나 악성 코드를 주입하기위한 개방 일뿐만 아니라 조직의 방화벽 내에서 애플리케이션 및 프로덕션 서비스를 줄일 수 있습니다.

Kubernetes를 포함한 모든 프로그램은 취약합니다. Kubernetes 배포자는 이미 수정 사항을 릴리스하고 있습니다.

Red Hat은 Red Hat OpenShift Container Platform, Red Hat OpenShift Online 및 Red Hat OpenShift Dedicated를 포함한 모든 Kubernetes 기반 제품 및 서비스가 영향을받는다고보고합니다.

Red Hat은 영향을받는 사용자에게 패치 및 서비스 업데이트를 제공하기 시작했습니다.

알려진 한, 아무도 보안 침해를 사용하여 공격하지 않았습니다. Rancher 연구소의 수석 설계자이자 공동 설립자 인 Darren Shepard는 버그를 발견하고 Kubernetes 취약점보고 프로세스를 사용하여이를보고했습니다.

이 결함을 수정하는 방법은 무엇입니까?

다행히이 버그에 대한 수정이 이미 출시되었습니다.. 어느 곳에서만 Kubernetes 업데이트를 수행하라는 요청을받습니다. 따라서 Kubernetes 패치 버전 v1.10.11, v1.11.5, v1.12.3 및 v1.13.0-RC.1 중 일부를 선택할 수 있습니다.

따라서 Kubernetes v1.0.x-1.9.x 버전을 계속 사용중인 경우 고정 버전으로 업그레이드하는 것이 좋습니다.

어떤 이유로 든 Kubernetes를 업데이트 할 수없는 경우 이 실패를 막으려면 다음 프로세스를 수행해야합니다.

서버 집계 API 사용을 중지하거나 kubelet API에 대한 전체 액세스 권한이 없어야하는 사용자의 pod exec / attach / portforward 권한을 제거해야합니다.

버그를 수정 한 Google 소프트웨어 엔지니어 인 Jordan Liggitt는 이러한 조치가 해로울 수 있다고 말했습니다.

따라서이 보안 결함에 대한 유일한 실제 솔루션은 해당 Kubernetes 업데이트를 수행하는 것입니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.