Kubernetes sa stal zďaleka najpopulárnejším cloudovým kontajnerovým systémom. Takže vlastne bolo len otázkou času, kedy sa podarí odhaliť jeho prvú veľkú bezpečnostnú chybu.
A tak aj bolo, pretože nedávno Prvá veľká bezpečnostná chyba v Kubernetes bola vydaná pod číslom CVE-2018-1002105, známe tiež ako zlyhanie eskalácie privilégií.
Táto veľká chyba v Kubernetes je problémom, pretože ide o kritickú bezpečnostnú dieru CVSS 9.8. V prípade prvej veľkej bezpečnostnej chyby Kubernetes.
Podrobnosti o chybe
So špeciálne navrhnutou sieťou požiadaviek môže každý užívateľ nadviazať spojenie prostredníctvom zo servera aplikačného programovacieho rozhrania (API) Kubernetes na server typu backend.
Po založení, útočník môže posielať ľubovoľné požiadavky cez sieťové pripojenie priamo do tohto koncového zariadenia cieľom je vždy tento server.
Tieto požiadavky sú autentifikované pomocou poverení TLS (Transport Layer Security) zo servera API Kubernetes.
A čo je ešte horšie, v predvolenej konfigurácii môžu všetci používatelia (overení alebo nie) spustiť volania zisťovania API, ktoré umožňujú útočníkovi eskaláciu týchto privilégií.
Takže potom každý, kto pozná túto dieru, môže využiť príležitosť a prevziať velenie nad svojím klastrom Kubernetes.
V súčasnosti neexistuje ľahký spôsob, ako zistiť, či bola táto chyba zabezpečení použitá skôr.
Pretože sa cez nadviazané pripojenie odosielajú neoprávnené požiadavky, nezobrazia sa v protokoloch auditu servera API Kubernetes ani v protokole servera.
Žiadosti sa zobrazujú v súhrnných protokoloch servera API alebo kubelet, ale líšia sa od správne autorizovaných a proxy požiadaviek prostredníctvom servera API Kubernetes.
Týranie túto novú zraniteľnosť v Kubernetes nezanechalo by to zjavné stopy v protokoloch, takže teraz, keď je chyba Kubernetes odhalená, je len otázkou času, kedy sa použije.
Inými slovami, Red Hat povedal:
Chyba eskalácie privilégií umožňuje každému neoprávnenému používateľovi získať úplné oprávnenia správcu pre akýkoľvek výpočtový uzol spustený v pod Kubernetes.
Nejde len o krádež alebo otváranie injekcií so škodlivým kódom, ale môže to tiež znížiť aplikačné a produkčné služby v rámci brány firewall organizácie.
Každý program vrátane Kubernetes je zraniteľný. Distribútori spoločnosti Kubernetes už vydávajú opravy.
Red Hat uvádza, že sú ovplyvnené všetky jej produkty a služby založené na Kubernetes vrátane Red Hat OpenShift Container Platform, Red Hat OpenShift Online a Red Hat OpenShift Dedicated.
Red Hat začal postihnutým používateľom poskytovať opravy a aktualizácie služieb.
Pokiaľ je známe, nikto zatiaľ porušenie bezpečnosti nepoužil na útok. Darren Shepard, hlavný architekt a spoluzakladateľ laboratória Rancher, objavil chybu a nahlásil ju pomocou procesu hlásenia zraniteľnosti Kubernetes.
Ako napraviť túto chybu?
Oprava tejto chyby bola už, našťastie, zverejnená. V ktorom iba sú požiadaní, aby vykonali aktualizáciu Kubernetes aby si mohli vybrať niektoré z opravených verzií Kubernetes v1.10.11, v1.11.5, v1.12.3 a v1.13.0-RC.1.
Pokiaľ teda stále používate niektorú z verzií Kubernetes v1.0.x-1.9.x, odporúčame vám upgradovať na pevnú verziu.
Ak z nejakého dôvodu nemôžu aktualizovať Kubernetes a chcú zastaviť toto zlyhanie, je nevyhnutné, aby vykonali nasledujúci proces.
Mali by ste prestať používať API server agregáty alebo odobrať oprávnenie pod exec / attach / portforward pre používateľov, ktorí by nemali mať plný prístup k API kubelet.
Jordan Liggitt, softvérový inžinier spoločnosti Google, ktorý chybu opravil, uviedol, že tieto opatrenia budú pravdepodobne škodlivé.
Jediným skutočným riešením proti tejto bezpečnostnej chybe je teda vykonať zodpovedajúcu aktualizáciu Kubernetes.