Kubernetes telah menjadi sistem wadah awan yang paling popular. Jadi sebenarnya hanya masalah masa sehingga kecacatan keselamatan utama pertamanya ditemui.
Dan begitu, kerana baru-baru ini Kekurangan keselamatan utama pertama di Kubernetes dilancarkan di bawah CVE-2018-1002105, juga dikenali sebagai kegagalan peningkatan hak istimewa.
Kekurangan utama di Kubernetes ini adalah masalah kerana ia adalah lubang keselamatan CVSS 9.8 yang kritikal. Sekiranya terdapat kecacatan keselamatan utama Kubernetes yang pertama.
Perincian ralat
Dengan jaringan permintaan yang direka khas, setiap pengguna dapat membuat sambungan melalui dari pelayan antara muka pengaturcaraan aplikasi (API) Kubernetes ke pelayan backend.
Setelah ditubuhkan, penyerang boleh menghantar permintaan sewenang-wenang melalui sambungan rangkaian terus ke backend itu di mana sepanjang masa objektifnya adalah pelayan itu.
Permintaan ini disahkan dengan bukti kelayakan TLS (Keselamatan Lapisan Pengangkutan) dari pelayan API Kubernetes.
Lebih buruk lagi, dalam konfigurasi lalai, semua pengguna (disahkan atau tidak) dapat menjalankan panggilan penemuan API yang memungkinkan peningkatan hak istimewa ini oleh penyerang.
Oleh itu, sesiapa sahaja yang mengetahui bahawa lubang itu boleh mengambil kesempatan untuk menguasai kumpulan Kubernetes mereka.
Pada masa ini tidak ada cara mudah untuk mengesan apakah kerentanan ini digunakan sebelumnya.
Oleh kerana permintaan yang tidak sah dibuat melalui sambungan yang dibuat, permintaan tersebut tidak muncul di log audit pelayan Kubernetes API atau log pelayan.
Permintaan muncul di log kubelet atau pelayan API agregat, tetapi mereka dibezakan dari permintaan proksi yang diberi kuasa dan proksi yang betul melalui pelayan API Kubernetes.
Penyalahgunaan kerentanan baru ini di Kubernetes ia tidak akan meninggalkan jejak yang jelas di log, jadi sekarang kerana bug Kubernetes terdedah, ia hanya memerlukan masa sehingga ia digunakan.
Dengan kata lain, Red Hat berkata:
Kekurangan eskalasi hak istimewa membolehkan pengguna yang tidak dibenarkan memperoleh hak pentadbir penuh pada sebarang node komputasi yang berjalan di pod Kubernetes.
Ini bukan hanya pencurian atau pembukaan untuk memasukkan kod berbahaya, tetapi juga dapat mengurangkan aplikasi dan perkhidmatan produksi dalam firewall organisasi.
Mana-mana program, termasuk Kubernetes, mudah terdedah. Pengedar Kubernetes sudah melepaskan pembaikan.
Red Hat melaporkan bahawa semua produk dan perkhidmatan berasaskan Kubernetes termasuk Red Hat OpenShift Container Platform, Red Hat OpenShift Online, dan Red Hat OpenShift Dedicated terjejas.
Red Hat mula memberikan tambalan dan kemas kini perkhidmatan kepada pengguna yang terjejas.
Setakat yang diketahui, belum ada yang menggunakan pelanggaran keselamatan untuk menyerang. Darren Shepard, ketua arkitek dan pengasas bersama makmal Rancher, menemui bug tersebut dan melaporkannya menggunakan proses pelaporan kerentanan Kubernetes.
Bagaimana membetulkan kesalahan ini?
Nasib baik, perbaikan untuk bug ini telah dikeluarkan.. Di mana sahaja mereka diminta untuk melakukan kemas kini Kubernetes sehingga mereka dapat memilih beberapa versi ditambal Kubernetes v1.10.11, v1.11.5, v1.12.3, dan v1.13.0-RC.1.
Oleh itu, jika anda masih menggunakan versi Kubernetes v1.0.x-1.9.x, disarankan anda menaik taraf ke versi tetap.
Sekiranya kerana sebab tertentu mereka tidak dapat mengemas kini Kubernetes dan mereka mahu menghentikan kegagalan ini, adalah mustahak mereka melakukan proses berikut.
Anda harus berhenti menggunakan API agregat pelayan atau membuang izin exec / attach / portforward pod untuk pengguna yang seharusnya tidak mempunyai akses penuh ke API kubelet.
Jordan Liggitt, jurutera perisian Google yang memperbaiki bug, mengatakan langkah-langkah itu kemungkinan akan merugikan.
Oleh itu, satu-satunya penyelesaian sebenar terhadap kelemahan keselamatan ini ialah melakukan kemas kini Kubernetes yang sesuai.