Kubernetes kļuva par neapšaubāmi populārāko mākoņu konteineru sistēmu. Tātad patiesībā tas bija tikai laika jautājums, līdz tika atklāts viņa pirmais lielais drošības trūkums.
Tā arī bija, jo nesen Pirmais lielais Kubernetes drošības trūkums tika izlaists ar CVE-2018-1002105, kas pazīstams arī kā privilēģiju eskalācijas kļūme.
Šis lielais Kubernetes trūkums ir problēma, jo tas ir kritisks CVSS 9.8 drošības trūkums. Pirmā lielā Kubernetes drošības trūkuma gadījumā.
Sīkāka informācija par kļūdu
Izmantojot speciāli izveidotu pieprasījumu tīklu, jebkurš lietotājs var izveidot savienojumu, izmantojot no lietojumprogrammu saskarnes servera (API) Kubernetes uz aizmugures serveri.
Kad tas ir izveidots, uzbrucējs var nosūtīt patvaļīgus pieprasījumus, izmantojot tīkla savienojumu, tieši šai backend kurā mērķis vienmēr ir tas serveris.
Šie pieprasījumi tiek autentificēti ar TLS akreditācijas datiem (Transport Layer Security) Kubernetes API serverī.
Vēl ļaunāk, noklusējuma konfigurācijā visi lietotāji (autentificēti vai nē) var izpildīt API atklāšanas zvanus, kas ļauj uzbrucējam šo privilēģiju eskalāciju.
Tad ikviens, kurš zina šo caurumu, var izmantot iespēju pārņemt savu Kubernetes kopu.
Pašlaik nav vienkārša veida, kā noteikt, vai šī ievainojamība tika izmantota iepriekš.
Tā kā neautorizēti pieprasījumi tiek veikti, izmantojot izveidotu savienojumu, tie netiek parādīti Kubernetes API servera audita žurnālos vai servera žurnālā.
Pieprasījumi tiek parādīti apkopotajos API serverī vai kubelet žurnālos, taču tie tiek nošķirti no pareizi autorizētiem un starpniekservera pieprasījumiem, izmantojot Kubernetes API serveri.
Ļaunprātīga izmantošana šo jauno ievainojamību Kubernetes tas neatstātu acīmredzamas pēdas žurnālos, tāpēc tagad, kad ir atklāta Kubernetes kļūda, tas ir tikai laika jautājums, līdz tas tiks izmantots.
Citiem vārdiem sakot, Red Hat teica:
Privilēģiju eskalācijas kļūda ļauj nevienam neautorizētam lietotājam iegūt pilnīgas administratora privilēģijas jebkuram skaitļošanas mezglam, kas darbojas Kubernetes pod.
Tā nav tikai zādzība vai atvēršana ļaunprātīga koda ievadīšanai, tā var arī samazināt lietojumprogrammu un ražošanas pakalpojumus organizācijas ugunsmūrī.
Jebkura programma, ieskaitot Kubernetes, ir neaizsargāta. Kubernetes izplatītāji jau izlaiž labojumus.
Red Hat ziņo, ka tiek ietekmēti visi tā produkti un pakalpojumi, kuru pamatā ir Kubernetes, tostarp Red Hat OpenShift Container Platform, Red Hat OpenShift Online un Red Hat OpenShift Dedicated.
Red Hat sāka piedāvāt ielāpus un pakalpojumu atjauninājumus skartajiem lietotājiem.
Cik zināms, neviens vēl neizmantoja drošības pārkāpumu uzbrukumam. Darens Šepards, galvenais arhitekts un Rancher laboratorijas līdzdibinātājs, atklāja kļūdu un ziņoja par to, izmantojot Kubernetes ievainojamības ziņošanas procesu.
Kā novērst šo vainu?
Par laimi, šīs kļūdas labojums jau ir izlaists.. Kurā tikai lūdza veikt Kubernetes jaunināšanu lai viņi varētu izvēlēties dažas no Kubernetes ielāpītajām versijām v1.10.11, v1.11.5, v1.12.3 un v1.13.0-RC.1.
Tātad, ja jūs joprojām izmantojat kādu no Kubernetes v1.0.x-1.9.x versijām, ieteicams jaunināt uz fiksētu versiju.
Ja kādu iemeslu dēļ viņi nevar atjaunināt Kubernetes un viņi vēlas apturēt šo neveiksmi, viņiem ir nepieciešams veikt šādu procesu.
Pārtrauciet servera apkopojumu API izmantošanu vai noņemiet pod exec / attach / portforward atļaujas lietotājiem, kuriem nevajadzētu būt pilnīgai piekļuvei kubelet API.
Džordans Ligits, Google programmatūras inženieris, kurš novērsa kļūdu, sacīja, ka šie pasākumi, visticamāk, būs kaitīgi.
Tātad vienīgais reālais risinājums pret šo drošības trūkumu ir veikt atbilstošo Kubernetes atjauninājumu.