Kubernetes a devenit de departe cel mai popular sistem de containere cloud. Deci, de fapt a fost doar o chestiune de timp până când a fost descoperit primul său defect major de securitate.
Și așa a fost, pentru că recent Primul defect major de securitate din Kubernetes a fost lansat sub CVE-2018-1002105, cunoscut și sub numele de eșecul escaladării privilegiilor.
Această defecțiune majoră în Kubernetes este o problemă, deoarece este o gaură critică de securitate CVSS 9.8. În cazul primului defect major de securitate Kubernetes.
Detalii despre eroare
Cu o rețea de solicitare special concepută, orice utilizator poate stabili o conexiune prin intermediul de pe serverul de interfață de programare a aplicației (API) Kubernetes către un server backend.
Odată stabilit, un atacator poate trimite cereri arbitrare prin conexiunea de rețea direct la backend-ul respectiv în care în orice moment obiectivul este acel server.
Aceste cereri sunt autentificate cu acreditările TLS (Transport Layer Security) al serverului Kubernetes API.
Mai rău, în configurația implicită, toți utilizatorii (autentificați sau nu) pot rula apeluri de descoperire API care permit această escaladare a privilegiilor de către atacator.
Deci, oricine cunoaște acea gaură poate profita de ocazie pentru a prelua comanda clusterului Kubernetes.
În acest moment nu există o modalitate ușoară de a detecta dacă această vulnerabilitate a fost utilizată anterior.
Deoarece solicitările neautorizate sunt făcute printr-o conexiune stabilită, acestea nu apar în jurnalele de audit ale serverului API Kubernetes sau în jurnalul serverului.
Solicitările apar în serverul API agregat sau în jurnalele kubelet, dar se disting de cererile autorizate și proxy corespunzătoare prin serverul API Kubernetes.
Abuz această nouă vulnerabilitate în Kubernetes nu ar lăsa urme evidente în jurnale, așa că acum, când bug-ul Kubernetes este expus, este doar o chestiune de timp până când este folosit.
Cu alte cuvinte, Red Hat a spus:
Defectul escaladării de privilegii permite oricărui utilizator neautorizat să obțină privilegii de administrator complete pe orice nod de calcul care rulează într-un pod Kubernetes.
Acesta nu este doar un furt sau o deschidere pentru a injecta cod rău intenționat, ci poate reduce și aplicațiile și serviciile de producție în cadrul paravanului de protecție al unei organizații.
Orice program, inclusiv Kubernetes, este vulnerabil. Distribuitorii Kubernetes lansează deja remedieri.
Red Hat raportează că toate produsele și serviciile sale bazate pe Kubernetes, inclusiv Red Hat OpenShift Container Platform, Red Hat OpenShift Online și Red Hat OpenShift Dedicated sunt afectate.
Red Hat a început să furnizeze patch-uri și actualizări de servicii utilizatorilor afectați.
Din câte se știe, nimeni nu a folosit încă încălcarea securității pentru a ataca. Darren Shepard, arhitect șef și cofondator al laboratorului Rancher, a descoperit eroarea și a raportat-o folosind procesul de raportare a vulnerabilității Kubernetes.
Cum se corectează această eroare?
Din fericire, o soluție pentru această eroare a fost deja lansată. În care numai li se cere să efectueze o actualizare Kubernetes astfel încât să poată alege unele dintre versiunile de patch-uri Kubernetes v1.10.11, v1.11.5, v1.12.3 și v1.13.0-RC.1.
Deci, dacă utilizați în continuare oricare dintre versiunile Kubernetes v1.0.x-1.9.x, este recomandat să faceți upgrade la o versiune fixă.
Dacă din anumite motive nu pot actualiza Kubernetes și vor să oprească acest eșec, este necesar să efectueze următorul proces.
Ar trebui să încetați să utilizați API-ul agregatelor de server sau să eliminați permisiunile pod exec / attach / portforward pentru utilizatorii care nu ar trebui să aibă acces complet la API-ul kubelet.
Jordan Liggitt, inginerul software Google care a remediat eroarea, a declarat că aceste măsuri vor fi probabil dăunătoare.
Deci, singura soluție reală împotriva acestui defect de securitate este să efectuați actualizarea Kubernetes corespunzătoare.