कुबर्नेट्स आतापर्यंतची सर्वात लोकप्रिय क्लाउड कंटेनर सिस्टम बनली आहे. तर प्रत्यक्षात त्याचा पहिला प्रमुख सुरक्षा दोष शोधला जाईपर्यंत केवळ त्या वेळेचीच बाब होती.
आणि म्हणूनच, अलीकडेच सीबीई -2018-1002105 अंतर्गत कुबर्नेट्समधील पहिला प्रमुख सुरक्षा दोष प्रसिद्ध झाला, विशेषाधिकार वाढ अपयश म्हणून देखील ओळखले जाते.
कुबर्नेट्समधील हा मुख्य दोष एक समस्या आहे कारण तो एक गंभीर सीव्हीएसएस 9.8 सुरक्षा भोक आहे. प्रथम प्रमुख कुबर्नेतेस सुरक्षा त्रुटी आढळल्यास.
त्रुटी तपशील
खास डिझाइन केलेल्या विनंती नेटवर्कसह, कोणताही वापरकर्ता कनेक्शन स्थापित करू शकतो अनुप्रयोग प्रोग्रामिंग इंटरफेस सर्व्हरवरून (एपीआय) बॅकएंड सर्व्हरवर कुबर्नेट करते.
एकदा स्थापित झाल्यानंतर, एखादा आक्रमणकर्ता थेट त्या बॅकएंडवर नेटवर्क कनेक्शनवर अनियंत्रित विनंत्या पाठवू शकतो ज्यामध्ये प्रत्येक वेळी उद्दीष्ट तो सर्व्हर असतो.
या विनंत्या टीएलएस क्रेडेन्शियल्ससह अधिकृत केल्या आहेत (ट्रान्सपोर्ट लेयर सिक्युरिटी) कुबर्नेट्स एपीआय सर्व्हरवरून.
सर्वात वाईट म्हणजे डीफॉल्ट कॉन्फिगरेशनमध्ये, सर्व वापरकर्ते (प्रमाणीकृत किंवा नाही) API शोध कॉल चालवू शकतात जे आक्रमणकर्त्याद्वारे या विशेषाधिकार वाढीस परवानगी देतात.
तर मग, ज्याला हे भोक माहित आहे तो कुबर्नेट्स क्लस्टरची आज्ञा घेण्याची संधी घेऊ शकेल.
या असुरक्षा यापूर्वी वापरली गेली होती की नाही हे शोधण्याचा याक्षणी कोणताही सोपा मार्ग नाही.
प्रस्थापित कनेक्शनवर अनधिकृत विनंत्या केल्या असल्याने, ते कुबर्नेट्स एपीआय सर्व्हर ऑडिट नोंदी किंवा सर्व्हर लॉगमध्ये दिसत नाहीत.
एकत्रित एपीआय सर्व्हर किंवा कुबलेट लॉगमध्ये विनंत्या दिसतील, परंतु ते कुबर्नेट्स एपीआय सर्व्हरद्वारे योग्यरित्या अधिकृत आणि प्रॉक्सी विनंत्यांद्वारे वेगळे आहेत.
शिवीगाळ कुबर्नेट्समधील ही नवीन असुरक्षा हे नोंदीमध्ये स्पष्ट ट्रेस सोडणार नाही, म्हणून आता कुबर्नेट्स बग उघडकीस आला आहे, तो वापरल्याशिवाय काळाची बाब आहे.
दुसर्या शब्दांत, रेड हॅट म्हणाले:
विशेषाधिकार वाढ त्रुटी कोणत्याही अनधिकृत वापरकर्त्यास कुबर्नेट्स पॉडमध्ये चालू असलेल्या कोणत्याही कंप्यूट नोडवर पूर्ण प्रशासक विशेषाधिकार मिळविण्यास परवानगी देते.
ही केवळ चोरी किंवा दुर्भावनायुक्त कोड इंजेक्ट करण्यासाठी उघडणे नाही, तर संस्थेच्या फायरवॉलमधील अनुप्रयोग आणि उत्पादन सेवा कमी करू शकते.
कुबर्नेट्ससह कोणताही प्रोग्राम असुरक्षित आहे. कुबर्नेट वितरक आधीच निराकरण सोडवत आहेत.
रेड हॅट नोंदवते की त्याची सर्व कुबर्नेट्स-आधारित उत्पादने व सेवांसह रेड हॅट ओपनशिफ्ट कंटेनर प्लॅटफॉर्म, रेड हॅट ओपनशिफ्ट ऑनलाईन, आणि रेड हॅट ओपनशिफ्ट समर्पित समर्पित आहे.
रेड हॅटने प्रभावित वापरकर्त्यांना पॅचेस व सर्व्हिस अपडेट्स पुरविणे सुरू केले.
म्हणून आतापर्यंत माहिती आहे की अद्याप हल्ला करण्यासाठी कुणीही सुरक्षा भंग केला नाही. डॅरेन शेपर्ड, मुख्य वास्तुविशारद आणि रणचेर प्रयोगशाळेचे सह-संस्थापक, यांनी हे दोष शोधून काढले आणि कुबर्नेट्स असुरक्षितता अहवाल देण्याच्या प्रक्रियेचा वापर करून त्याचा अहवाल दिला.
हा दोष कसा दुरुस्त करावा?
सुदैवाने, या बगसाठी एक निराकरण आधीच जारी केले गेले आहे. ज्यामध्ये फक्त त्यांना कुबर्नेट अद्यतनित करण्यास सांगितले जाते म्हणून ते कुबर्नेट्स पॅच केलेल्या आवृत्त्या v1.10.11, v1.11.5, v1.12.3 आणि v1.13.0-RC.1 निवडू शकतात.
म्हणूनच आपण अद्याप कुबर्नेट्स v1.0.x-1.9.x आवृत्त्या वापरत असल्यास, आपण निश्चित आवृत्तीवर श्रेणीसुधारित करण्याची शिफारस केली जाते.
काही कारणास्तव ते कुबर्नेट्स अद्यतनित करू शकत नाहीत आणि त्यांना हे अपयश थांबवायचे आहे, त्यांनी पुढील प्रक्रिया पार पाडणे आवश्यक आहे.
आपण सर्व्हर एकत्रित API वापरणे थांबवावे किंवा ज्या वापरकर्त्यांना कुबलेट API वर पूर्ण प्रवेश नसावा अशा वापरकर्त्यांसाठी पॉड एक्झिक्ट / संलग्न / पोर्टफोरवर्ड परवानग्या काढून टाकल्या पाहिजेत.
बग निश्चित करणारे गूगल सॉफ्टवेअर अभियंता जॉर्डन लिगगीट म्हणाले की हे उपाय कदाचित घातक असतील.
म्हणूनच या सुरक्षा दोष विरूद्ध एकमेव वास्तविक समाधान संबंधित कुबर्नेट्स अद्यतनित करणे आहे.