Ang Kubernetes ay naging ang pinakatanyag na cloud container system. Kaya talaga ito ay lamang ng isang oras ng oras hanggang sa ang kanyang unang pangunahing security kapintasan ay natuklasan.
At ganon din, dahil kamakailan Ang unang pangunahing bahid sa seguridad sa Kubernetes ay pinakawalan sa ilalim ng CVE-2018-1002105, kilala rin bilang kabiguang pagdami ng pribilehiyo.
Ang pangunahing bahid sa Kubernetes ay isang problema dahil ito ay isang kritikal na butas sa seguridad ng CVSS 9.8. Sa kaganapan ng unang pangunahing kapintasan sa seguridad ng Kubernetes.
Mga detalye ng error
Sa pamamagitan ng isang espesyal na idinisenyong network ng kahilingan, ang sinumang gumagamit ay maaaring magtatag ng isang koneksyon sa pamamagitan ng mula sa server ng interface ng application ng application (API) Kubernetes sa isang backend server.
Kapag naitatag na, ang isang magsasalakay ay maaaring magpadala ng di-makatwirang mga kahilingan sa koneksyon ng network nang direkta sa backend na iyon kung saan sa lahat ng oras ang layunin ay ang server.
Ang mga kahilingang ito ay napatunayan sa mga kredensyal ng TLS (Transport Layer Security) mula sa Kubernetes API server.
Mas masahol pa rin, sa default na pagsasaayos, ang lahat ng mga gumagamit (napatunayan o hindi) ay maaaring magpatakbo ng mga tawag sa pagtuklas ng API na nagpapahintulot sa pagtaas ng pribilehiyong ito ng umaatake.
Kaya kung gayon, ang sinumang nakakaalam ng butas na iyon ay maaaring kumuha ng pagkakataon na pangasiwaan ang kanilang kumpol ng Kubernetes.
Sa ngayon walang madaling paraan upang matukoy kung ang kahinaan na ito ay ginamit dati.
Tulad ng hindi pinahihintulutang mga kahilingan na ginawa sa isang itinatag na koneksyon, hindi sila lilitaw sa mga log ng audit server ng Kubernetes API o ang log ng server.
Lumilitaw ang mga kahilingan sa pinagsamang API server o kubelet log, ngunit nakikilala sila mula sa maayos na pinahintulutan at mga kahilingan sa proxy sa pamamagitan ng Kubernetes API server.
Pang-aabuso ang bagong kahinaan sa Kubernetes hindi ito mag-iiwan ng halatang mga bakas sa mga troso, kaya ngayon na nakalantad ang bug ng Kubernetes, kaunting oras lamang ito hanggang sa magamit ito.
Sa madaling salita, sinabi ni Red Hat:
Pinapayagan ng pagkakamali ng pagdami ng pribilehiyo ang anumang hindi awtorisadong gumagamit na makakuha ng buong mga pribilehiyo ng administrator sa anumang compute node na tumatakbo sa isang pod ng Kubernetes.
Hindi lamang ito pagnanakaw o pambungad upang mag-iniksyon ng nakakahamak na code, maaari rin nitong mabawasan ang mga serbisyo sa aplikasyon at produksyon sa loob ng firewall ng isang organisasyon.
Anumang programa, kabilang ang Kubernetes, ay mahina. Ang mga distributor ng Kubernetes ay naglalabas na ng mga pag-aayos.
Iniulat ng Red Hat na ang lahat ng mga produkto at serbisyo na batay sa Kubernetes kasama ang Red Hat OpenShift Container Platform, Red Hat OpenShift Online, at Red Hat OpenShift Dedicated ay apektado.
Nagsimulang magbigay ang Red Hat ng mga pag-patch at pag-update ng serbisyo sa mga apektadong gumagamit.
Sa pagkakaalam, wala pang gumamit ng security breach upang umatake. Si Darren Shepard, punong arkitekto at co-founder ng Rancher laboratory, ay natuklasan ang bug at iniulat ito gamit ang proseso ng pag-uulat ng kahinaan sa Kubernetes.
Paano maitatama ang kasalanan na ito?
Sa kasamaang palad, ang isang pag-aayos para sa bug na ito ay pinakawalan na. Sa kung saan lamang hiniling sa kanila na magsagawa ng pag-update ng Kubernetes kaya maaari silang pumili ng ilan sa mga Kubernetes na naka-patch na bersyon v1.10.11, v1.11.5, v1.12.3, at v1.13.0-RC.1.
Kaya kung gumagamit ka pa rin ng anuman sa mga bersyon ng Kubernetes v1.0.x-1.9.x, inirerekumenda na mag-upgrade ka sa isang nakapirming bersyon.
Kung sa ilang kadahilanan hindi nila ma-update ang Kubernetes at nais nilang itigil ang kabiguang ito, kinakailangan na isagawa nila ang sumusunod na proseso.
Dapat mong ihinto ang paggamit ng server na pinagsasama-sama ng API o alisin ang mga pod exec / attach / portforward na pahintulot para sa mga gumagamit na hindi dapat magkaroon ng buong pag-access sa kubelet API.
Sinabi ni Jordan Liggitt, ang engineer ng software ng Google na nag-ayos ng bug, na ang mga hakbang na iyon ay maaaring makapinsala.
Kaya ang tanging tunay na solusyon laban sa kapintasan sa seguridad na ito ay upang maisagawa ang kaukulang pag-update ng Kubernetes.