Кубернетес је постао далеко најпопуларнији систем контејнера у облаку. Па заправо било је само питање времена када ће бити откривена његова прва велика безбедносна грешка.
Тако је и било, јер недавно Прва велика безбедносна грешка у Кубернетесу објављена је под ЦВЕ-2018-1002105, познат и као неуспех ескалације привилегија.
Ова велика грешка у Кубернетесу представља проблем јер је критична сигурносна рупа ЦВСС 9.8. У случају прве велике Кубернетесове сигурносне грешке.
Детаљи о грешци
Помоћу посебно дизајниране мреже захтева сваки корисник може успоставити везу путем са сервера интерфејса за програмирање апликација (АПИ) Кубернетес на позадински сервер.
Једном успостављена, нападач може послати произвољне захтеве преко мрежне везе директно на ту позадину у коме је у сваком тренутку циљ тај сервер.
Ови захтеви су потврђени идентитетом помоћу ТЛС акредитива (Транспорт Лаиер Сецурити) са Кубернетес АПИ сервера.
Још горе, у подразумеваној конфигурацији, сви корисници (потврђени или не) могу да извршавају позиве за откривање АПИ-ја који нападачу омогућавају ову ескалацију привилегија.
Па онда, свако ко зна ту рупу може да искористи прилику да преузме команду над својим Кубернетесовим јатом.
Тренутно не постоји једноставан начин да се открије да ли је ова рањивост раније коришћена.
Како се неовлашћени захтеви упућују преко успостављене везе, они се не појављују у евиденцијама ревизије сервера Кубернетес АПИ или у евиденцији сервера.
Захтеви се појављују у евиденцијама кубелета или обједињеном АПИ серверу, али се разликују од правилно овлашћених и проки захтева преко Кубернетес АПИ сервера.
Злоупотреба ову нову рањивост у Кубернетесу не би остављао очигледне трагове у евиденцијама, па је сада, када је Кубернетесова грешка изложена, само питање времена када ће се користити.
Другим речима, Ред Хат је рекао:
Недостатак ескалације привилегија омогућава неовлашћеном кориснику да стекне потпуне администраторске привилегије на било ком рачунарском чвору покренутом у Кубернетесовом блоку.
Ово није само крађа или отварање за убацивање злонамерног кода, већ такође може смањити услуге апликација и производње у заштитном зиду организације.
Било који програм, укључујући Кубернетес, је рањив. Кубернетес дистрибутери већ објављују поправке.
Ред Хат извештава да су то погођени свим производима и услугама заснованим на Кубернетес-у, укључујући Ред Хат ОпенСхифт Цонтаинер Платформ, Ред Хат ОпенСхифт Онлине и Ред Хат ОпенСхифт Дедицатед.
Ред Хат је почео да пружа закрпе и ажурирања услуга погођеним корисницима.
Колико је познато, још нико није искористио пробој безбедности за напад. Даррен Схепард, главни архитекта и суоснивач Ранцхер лабораторије, открио је грешку и пријавио је користећи Кубернетесов поступак извештавања о рањивости.
Како исправити ову грешку?
Срећом, исправка за ову грешку је већ објављена. У којој само од њих се тражи да изврше Кубернетес-ово ажурирање тако да могу изабрати неке од закрпаних верзија Кубернетес в1.10.11, в1.11.5, в1.12.3 и в1.13.0-РЦ.1.
Дакле, ако и даље користите било коју верзију Кубернетес в1.0.к-1.9.к, препоручује се надоградња на фиксну верзију.
Ако из неког разлога не могу да ажурирају Кубернетес и желе да зауставе овај неуспех, неопходно је да изврше следећи процес.
Требали бисте престати користити АПИ агрегата сервера или уклонити дозволе под екец / аттацх / портфорвард за кориснике који не би требали имати пуни приступ АПИ-ју кубелет.
Јордан Лиггитт, Гоогле-ов софтверски инжењер који је отклонио ту грешку, рекао је да ће те мере вероватно бити штетне.
Дакле, једино право решење против ове безбедносне грешке је извођење одговарајућег ажурирања Кубернетес-а.