发现第一个Kubernetes安全漏洞

Kubernetes成为迄今为止最受欢迎的云容器系统。 所以实际上 发现他的第一个主要安全漏洞只是时间问题。

就是这样，因为最近 Kubernetes中的第一个主要安全漏洞是在CVE-2018-1002105下发布的，也称为特权升级失败。

Kubernetes中的这一主要缺陷是一个问题，因为它是CVSS 9.8的关键安全漏洞。 如果出现第一个主要的Kubernetes安全漏洞。

错误详情

使用专门设计的请求网络，任何用户都可以通过以下方式建立连接 从应用程序编程接口服务器（API）Kubernetes到后端服务器。

一旦建立， 攻击者可以通过网络连接直接向该后端发送任意请求 在任何时候，目标都是该服务器。

这些请求使用TLS凭据进行身份验证 （传输层安全性）来自Kubernetes API服务器。

更糟糕的是，在默认配置下，所有用户（无论是否经过身份验证）都可以运行API发现调用，从而使攻击者可以升级此特权。

因此，任何知道此漏洞的人都可以借此机会掌控自己的Kubernetes集群。

目前，没有简单的方法来检测以前是否使用过此漏洞。

由于未经授权的请求是通过已建立的连接发出的，因此它们不会出现在Kubernetes API服务器审核日志或服务器日志中。

请求出现在kubelet日志或汇总API服务器中，但它们与通过Kubernetes API服务器正确授权和代理的请求有所区别。

虐待 Kubernetes中的这个新漏洞 它不会在日志中留下明显的痕迹，因此，既然已经暴露了Kubernetes错误，那么使用它只是时间问题。

换句话说，Red Hat表示：

特权升级漏洞使任何未经授权的用户都可以在Kubernetes容器中运行的任何计算节点上获得全部管理员特权。

这不只是盗窃或注入恶意代码的机会，它还可以减少组织防火墙内的应用程序和生产服务。

任何程序，包括Kubernetes，都容易受到攻击。 Kubernetes发行商已经在发布修复程序。

红帽报告说，其所有基于Kubernetes的产品和服务都受到影响，包括红帽OpenShift容器平台，红帽OpenShift在线和红帽OpenShift专用。

红帽开始向受影响的用户提供补丁和服务更新。

据了解，还没有人使用安全漏洞进行攻击。 Rancher实验室的首席架构师和联合创始人Darren Shepard发现了该错误，并使用Kubernetes漏洞报告流程进行了报告。

如何纠正此故障？

幸运的是，已经发布了此错误的修复程序。。 仅在其中 他们被要求执行Kubernetes更新 因此他们可以选择某些Kubernetes修补版本v1.10.11，v1.11.5，v1.12.3和v1.13.0-RC.1。

因此，如果您仍在使用任何Kubernetes v1.0.x-1.9.x版本，建议您升级到固定版本。

如果由于某种原因他们不能更新Kubernetes 并且他们想要停止此故障，有必要执行以下过程。

对于不应该完全访问kubelet API的用户，您应该停止使用服务器聚合API或删除pod exec / attach / portforward权限。

修复了该错误的Google软件工程师Jordan Liggitt表示，这些措施可能有害。

因此，针对此安全漏洞的唯一真正解决方案是相应地更新Kubernetes。