Kubernetes je postal daleč najbolj priljubljen sistem zabojnikov v oblaku. Torej pravzaprav bilo je le vprašanje časa, kdaj bo odkrita njegova prva večja varnostna napaka.
In tako je tudi bilo, ker pred kratkim Prva večja varnostna napaka v Kubernetesu je bila objavljena v okviru CVE-2018-1002105, znan tudi kot neuspeh stopnjevanja privilegij.
Ta velika napaka v Kubernetesu je težava, saj gre za kritično varnostno luknjo CVSS 9.8. V primeru prve večje varnostne napake Kubernetesa.
Podrobnosti napake
S posebej zasnovanim omrežjem zahtevkov lahko vsak uporabnik vzpostavi povezavo prek s strežnika vmesnika za programiranje (API) Kubernetes na zaledni strežnik.
Ko je ustanovljen, napadalec lahko pošlje poljubne zahteve prek omrežne povezave neposredno na ta backend v katerem je ves čas cilj tisti strežnik.
Te zahteve so overjene s poverilnicami TLS (Transport Layer Security) strežnika Kubernetes API.
Še huje pa je, da lahko v privzeti konfiguraciji vsi uporabniki (overjeni ali ne) izvajajo klice za odkrivanje API-jev, ki napadalcu omogočajo stopnjevanje privilegij.
Torej, kdorkoli pozna to luknjo, lahko izkoristi priložnost, da prevzame poveljstvo nad svojo jato Kubernetes.
Trenutno ni enostavnega načina za odkrivanje, ali je bila ta ranljivost uporabljena že prej.
Ker se nepooblaščene zahteve pošiljajo prek vzpostavljene povezave, se ne pojavijo v dnevnikih revizije strežnika Kubernetes API ali dnevniku strežnika.
Zahteve se pojavijo v zbirnih dnevnikih strežnika API ali kubelet, vendar jih ločimo od pravilno pooblaščenih zahtev in zahtev proxy prek strežnika Kubernetes API.
Zloraba to novo ranljivost v Kubernetesu v dnevnikih ne bi pustil očitnih sledi, zato je zdaj, ko je napaka Kubernetes izpostavljena, le vprašanje časa, kdaj bo uporabljen.
Z drugimi besedami, Red Hat je dejal:
Napaka v stopnjevanju privilegij omogoča nepooblaščenim uporabnikom, da pridobijo polne skrbniške pravice na katerem koli računalniškem vozlišču, ki se izvaja v Kubernetesovem pod.
To ni le kraja ali odprtje za vbrizgavanje zlonamerne kode, lahko tudi zmanjša aplikacijske in produkcijske storitve znotraj požarnega zidu organizacije.
Vsak program, vključno s Kubernetesom, je ranljiv. Distributerji Kubernetes že izdajajo popravke.
Red Hat poroča, da to vpliva na vse izdelke in storitve, ki temeljijo na Kubernetesu, vključno z Red Hat OpenShift Container Platform, Red Hat OpenShift Online in Red Hat OpenShift Dedicated.
Red Hat je prizadetim uporabnikom začel zagotavljati popravke in posodobitve storitev.
Kolikor je znano, še nihče ni uporabil varnostne kršitve za napad. Darren Shepard, glavni arhitekt in soustanovitelj laboratorija Rancher, je odkril napako in jo prijavil s postopkom poročanja o ranljivosti Kubernetes.
Kako odpraviti to napako?
Na srečo je bil že odpravljen popravek te napake. V kateri samo pozvani so, da izvedejo posodobitev Kubernetesa tako lahko izberejo nekatere popravljene različice Kubernetes v1.10.11, v1.11.5, v1.12.3 in v1.13.0-RC.1.
Torej, če še vedno uporabljate katero koli različico Kubernetes v1.0.x-1.9.x, je priporočljivo nadgraditi na fiksno različico.
Če iz nekega razloga ne morejo posodobiti Kubernetesa in če hočejo to okvaro ustaviti, morajo izvesti naslednji postopek.
Nehajte uporabljati API-je strežniških agregatov ali odstranite dovoljenja pod exec / attach / portforward za uporabnike, ki ne bi smeli imeti popolnega dostopa do API-ja kubelet.
Jordan Liggitt, Googlov programski inženir, ki je odpravil napako, je dejal, da bodo ti ukrepi verjetno škodljivi.
Edina resnična rešitev proti tej varnostni napaki je torej izvedba ustrezne posodobitve Kubernetes.