Kubernetes, açık ara en popüler bulut konteyner sistemi oldu. Yani aslında ilk büyük güvenlik açığının keşfedilmesi an meselesiydi.
Ve öyleydi çünkü son zamanlarda Kubernetes'teki ilk büyük güvenlik açığı CVE-2018-1002105 altında yayınlandı, ayrıcalık yükseltme hatası olarak da bilinir.
Kubernetes'teki bu büyük kusur, kritik bir CVSS 9.8 güvenlik açığı olduğu için bir sorundur. İlk büyük Kubernetes güvenlik açığı durumunda.
Hatanın ayrıntıları
Özel olarak tasarlanmış bir istek ağıyla, herhangi bir kullanıcı aracılığıyla bir bağlantı kurabilir uygulama programlama arayüz sunucusundan (API) Kubernetes bir arka uç sunucusuna.
Bir kez kurulduktan sonra, bir saldırgan, ağ bağlantısı üzerinden doğrudan bu arka uca rastgele istekler gönderebilir her zaman hedefin o sunucu olduğu.
Bu istekler TLS kimlik bilgileriyle doğrulanır Kubernetes API sunucusundan (Taşıma Katmanı Güvenliği).
Daha da kötüsü, varsayılan yapılandırmada, tüm kullanıcılar (kimliği doğrulanmış olsun veya olmasın), saldırgan tarafından bu ayrıcalık yükseltmesine izin veren API keşif çağrıları çalıştırabilir.
Böylece, bu deliği bilen herkes Kubernetes kümesinin kontrolünü ele geçirme fırsatını yakalayabilir.
Şu anda bu güvenlik açığının daha önce kullanılıp kullanılmadığını tespit etmenin kolay bir yolu yoktur.
Yetkisiz istekler kurulu bir bağlantı üzerinden yapıldığından, bunlar Kubernetes API sunucusu denetim günlüklerinde veya sunucu günlüğünde görünmez.
İstekler, kubelet günlüklerinde veya toplu API sunucusunda görünürancak Kubernetes API sunucusu aracılığıyla uygun şekilde yetkilendirilmiş ve proxy isteklerinden ayırt edilirler.
Taciz Kubernetes'teki bu yeni güvenlik açığı günlüklerde bariz izler bırakmazdı, dolayısıyla Kubernetes hatası ortaya çıktığına göre, kullanılması an meselesi.
Başka bir deyişle Red Hat şunları söyledi:
Ayrıcalık yükseltme kusuru, herhangi bir yetkisiz kullanıcının bir Kubernetes bölmesinde çalışan herhangi bir hesaplama düğümünde tam yönetici ayrıcalıkları kazanmasına olanak tanır.
Bu sadece bir hırsızlık veya kötü amaçlı kod enjekte etmeye yönelik bir açıklık değildir, aynı zamanda bir kuruluşun güvenlik duvarı içindeki uygulama ve üretim hizmetlerini de azaltabilir.
Kubernetes dahil herhangi bir program savunmasızdır. Kubernetes dağıtımcıları halihazırda düzeltmeler yayınlıyor.
Red Hat, Red Hat OpenShift Container Platform, Red Hat OpenShift Online ve Red Hat OpenShift Dedicated dahil olmak üzere Kubernetes tabanlı tüm ürün ve hizmetlerinin etkilendiğini bildirdi.
Red Hat, etkilenen kullanıcılara yamalar ve hizmet güncellemeleri sağlamaya başladı.
Bilindiği kadarıyla henüz kimse güvenlik ihlalini saldırı için kullanmadı. Rancher laboratuvarının baş mimarı ve kurucu ortağı Darren Shepard, hatayı keşfetti ve Kubernetes güvenlik açığı raporlama sürecini kullanarak bunu bildirdi.
Bu hata nasıl düzeltilir?
Neyse ki, bu hata için bir düzeltme zaten yayınlandı.. Sadece içinde bir Kubernetes güncellemesi yapmaları istenir böylece Kubernetes yamalı v1.10.11, v1.11.5, v1.12.3 ve v1.13.0-RC.1 sürümlerinden bazılarını seçebilirler.
Dolayısıyla, hala Kubernetes v1.0.x-1.9.x sürümlerinden herhangi birini kullanıyorsanız, sabit bir sürüme yükseltmeniz önerilir.
Herhangi bir nedenle Kubernetes'i güncelleyemezlerse ve bu başarısızlığı durdurmak istiyorlarsa, aşağıdaki işlemi gerçekleştirmeleri gerekir.
Kubelet API'sine tam erişime sahip olmaması gereken kullanıcılar için sunucu toplama API'sini kullanmayı bırakmalı veya pod exec / attach / portforward izinlerini kaldırmalısınız.
Hatayı düzelten Google yazılım mühendisi Jordan Liggitt, bu önlemlerin büyük olasılıkla zararlı olacağını söyledi.
Dolayısıyla, bu güvenlik açığına karşı tek gerçek çözüm, ilgili Kubernetes güncellemesini gerçekleştirmektir.