O Kubernetes se tornou de longe o sistema de contêiner em nuvem mais popular. Então na verdade era apenas uma questão de tempo até que sua primeira grande falha de segurança fosse descoberta.
E assim foi, porque recentemente A primeira grande falha de segurança no Kubernetes foi lançada sob CVE-2018-1002105, também conhecida como falha de escalonamento de privilégio.
Esta grande falha no Kubernetes é um problema, pois é uma falha de segurança crítica do CVSS 9.8. No caso da primeira grande falha de segurança do Kubernetes.
Detalhes do erro
Com uma rede de solicitação especialmente projetada, qualquer usuário pode estabelecer uma conexão por meio de do servidor de interface de programação de aplicativos (API) Kubernetes para um servidor de back-end.
Uma vez estabelecido, um invasor pode enviar solicitações arbitrárias pela conexão de rede diretamente para esse back-end em que em todos os momentos o objetivo é aquele servidor.
Essas solicitações são autenticadas com as credenciais TLS (Transport Layer Security) do servidor da API Kubernetes.
Pior ainda, na configuração padrão, todos os usuários (autenticados ou não) podem executar chamadas de descoberta de API que permitem esse aumento de privilégios pelo invasor.
Então, qualquer pessoa que conheça essa lacuna pode aproveitar a oportunidade para assumir o comando de seu cluster do Kubernetes.
No momento, não há uma maneira fácil de detectar se essa vulnerabilidade foi usada anteriormente.
Como as solicitações não autorizadas são feitas por meio de uma conexão estabelecida, elas não aparecem nos registros de auditoria do servidor da API Kubernetes ou no registro do servidor.
As solicitações aparecem nos logs do kubelet ou no servidor de API agregado, mas eles se diferenciam das solicitações de proxy e devidamente autorizadas por meio do servidor da API Kubernetes.
Abuso esta nova vulnerabilidade no Kubernetes ele não deixaria rastros óbvios nos registros, então agora que o bug do Kubernetes foi exposto, é apenas uma questão de tempo até que ele seja usado.
Em outras palavras, a Red Hat disse:
A falha de escalonamento de privilégios permite que qualquer usuário não autorizado obtenha privilégios totais de administrador em qualquer nó de computação em execução em um pod do Kubernetes.
Isso não é apenas um roubo ou uma abertura para injetar código malicioso, mas também pode reduzir os serviços de aplicativo e produção no firewall de uma organização.
Qualquer programa, incluindo Kubernetes, é vulnerável. Os distribuidores do Kubernetes já estão lançando correções.
A Red Hat relata que todos os seus produtos e serviços baseados em Kubernetes, incluindo Red Hat OpenShift Container Platform, Red Hat OpenShift Online e Red Hat OpenShift Dedicated, foram afetados.
A Red Hat começou a fornecer patches e atualizações de serviço aos usuários afetados.
Até onde se sabe, ninguém usou a violação de segurança para atacar ainda. Darren Shepard, arquiteto-chefe e cofundador do laboratório Rancher, descobriu o bug e o relatou usando o processo de relatório de vulnerabilidade do Kubernetes.
Como corrigir essa falha?
Felizmente, uma correção para esse bug já foi lançada.. Em que apenas eles são solicitados a realizar uma atualização do Kubernetes para que eles possam escolher algumas das versões com patch do Kubernetes v1.10.11, v1.11.5, v1.12.3 e v1.13.0-RC.1.
Portanto, se você ainda estiver usando qualquer uma das versões do Kubernetes v1.0.x-1.9.x, é recomendável fazer upgrade para uma versão fixa.
Se por algum motivo eles não conseguem atualizar o Kubernetes e se quiserem deter esta falha, é necessário que realizem o seguinte processo.
Você deve parar de usar a API de agregados do servidor ou remover as permissões pod exec / attach / portforward para usuários que não devem ter acesso total à API kubelet.
Jordan Liggitt, o engenheiro de software do Google que corrigiu o bug, disse que essas medidas provavelmente serão prejudiciais.
Portanto, a única solução real contra essa falha de segurança é realizar a atualização do Kubernetes correspondente.