„Kubernetes“ tapo neabejotinai populiariausia debesų konteinerių sistema. Taigi iš tikrųjų tai buvo tik laiko klausimas, kol bus atrastas pirmasis didelis jo saugumo trūkumas.
Taip ir buvo, nes neseniai Pirmasis didelis „Kubernetes“ saugumo trūkumas buvo išleistas CVE-2018-1002105, taip pat žinomas kaip privilegijos eskalavimo gedimas.
Šis pagrindinis „Kubernetes“ trūkumas yra problema, nes tai yra kritinė CVSS 9.8 saugumo spraga. Esant pirmajam dideliam „Kubernetes“ saugumo trūkumui.
Išsami informacija apie klaidą
Naudodamas specialiai sukurtą užklausų tinklą, bet kuris vartotojas gali užmegzti ryšį per iš programavimo sąsajos serverio (API) „Kubernetes“ į vidinį serverį.
Kai bus nustatyta, užpuolikas gali siųsti savavališkas užklausas per tinklo ryšį tiesiai į tą vidinę programą kurio tikslas visada yra tas serveris.
Šios užklausos patvirtinamos naudojant TLS kredencialus („Transport Layer Security“) iš „Kubernetes“ API serverio.
Dar blogiau, kad pagal numatytąją konfigūraciją visi vartotojai (patvirtinti ar ne) gali paleisti API atradimo skambučius, leidžiančius užpuolikui išplėsti šią privilegiją.
Su tuo tada kiekvienas, žinantis tą skylę, gali pasinaudoti proga vadovauti savo „Kubernetes“ klasteriui.
Šiuo metu nėra lengvo būdo nustatyti, ar šis pažeidžiamumas buvo naudojamas anksčiau.
Kadangi neteisėtos užklausos pateikiamos per užmegztą ryšį, jos nerodomos „Kubernetes“ API serverio audito žurnaluose arba serverio žurnale.
Užklausos rodomos suvestiniuose API serverio arba „kubelet“ žurnaluose, bet jie atskiriami nuo tinkamai įgaliotų ir tarpinių užklausų per „Kubernetes“ API serverį.
Piktnaudžiavimas šį naują „Kubernetes“ pažeidžiamumą tai nepaliktų akivaizdžių pėdsakų žurnaluose, todėl dabar, kai yra atskleista „Kubernetes“ klaida, tik laiko klausimas, kol ji bus naudojama.
Kitaip tariant, „Red Hat“ pasakė:
Privilegijų eskalavimo trūkumas leidžia bet kuriam neteisėtam vartotojui įgyti visas administratoriaus teises bet kuriame skaičiavimo mazge, veikiančiame „Kubernetes“ pod.
Tai nėra tik vagystė ar kenkėjiško kodo įvedimo atvėrimas, bet taip pat gali sumažėti programos užkardos programų ir gamybos paslaugos.
Bet kuri programa, įskaitant „Kubernetes“, yra pažeidžiama. „Kubernetes“ platintojai jau leidžia taisymus.
„Red Hat“ praneša, kad tai paveikė visus „Kubernetes“ pagrįstus produktus ir paslaugas, įskaitant „Red Hat OpenShift Container Platform“, „Red Hat OpenShift Online“ ir „Red Hat OpenShift Dedicated“.
„Red Hat“ pradėjo teikti pataisas ir paslaugų naujinimus paveiktiems vartotojams.
Kiek žinoma, dar niekas nenaudojo saugumo pažeidimo pulti. Darrenas Shepardas, vyriausiasis architektas ir „Rancher“ laboratorijos įkūrėjas, aptiko klaidą ir pranešė apie ją naudodamasis „Kubernetes“ pažeidžiamumo pranešimo procesu.
Kaip ištaisyti šią gedimą?
Laimei, šios klaidos taisymas jau buvo išleistas.. Kuriame tik jų prašoma atlikti „Kubernetes“ atnaujinimą todėl jie gali pasirinkti kai kurias iš „Kubernetes“ pataisytų versijų v1.10.11, v1.11.5, v1.12.3 ir v1.13.0-RC.1.
Taigi, jei vis dar naudojate bet kurią iš „Kubernetes v1.0.x-1.9.x“ versijų, rekomenduojama atnaujinti į fiksuotą versiją.
Jei dėl kokių nors priežasčių jie negali atnaujinti „Kubernetes“ ir jie nori sustabdyti šią nesėkmę, būtina atlikti šį procesą.
Turėtumėte nustoti naudoti serverio suvestinių API arba pašalinti „pod exec / attach / portforward“ leidimus tiems vartotojams, kurie neturėtų turėti visiškos prieigos prie „kubelet“ API.
Jordanas Liggittas, „Google“ programinės įrangos inžinierius, ištaisęs klaidą, teigė, kad šios priemonės greičiausiai bus žalingos.
Taigi vienintelis realus sprendimas prieš šį saugumo trūkumą yra atlikti atitinkamą „Kubernetes“ atnaujinimą.