发现第一个Kubernetes安全漏洞

kubernetes-徽标

Kubernetes成为迄今为止最受欢迎的云容器系统。 所以实际上 发现他的第一个主要安全漏洞只是时间问题。

就是这样,因为最近 Kubernetes中的第一个主要安全漏洞是在CVE-2018-1002105下发布的,也称为特权升级失败。

Kubernetes中的这一主要缺陷是一个问题,因为它是CVSS 9.8的关键安全漏洞。 如果出现第一个主要的Kubernetes安全漏洞。

错误详情

使用专门设计的请求网络,任何用户都可以通过以下方式建立连接 从应用程序编程接口服务器(API)Kubernetes到后端服务器。

一旦建立, 攻击者可以通过网络连接直接向该后端发送任意请求 在任何时候,目标都是该服务器。

这些请求使用TLS凭据进行身份验证 (传输层安全性)来自Kubernetes API服务器。

更糟糕的是,在默认配置下,所有用户(无论是否经过身份验证)都可以运行API发现调用,从而使攻击者可以升级此特权。

因此,任何知道此漏洞的人都可以借此机会掌控自己的Kubernetes集群。

目前,没有简单的方法来检测以前是否使用过此漏洞。

由于未经授权的请求是通过已建立的连接发出的,因此它们不会出现在Kubernetes API服务器审核日志或服务器日志中。

Kubernetes_安全性

请求出现在kubelet日志或汇总API服务器中,但它们与通过Kubernetes API服务器正确授权和代理的请求有所区别。

虐待 Kubernetes中的这个新漏洞 它不会在日志中留下明显的痕迹,因此,既然已经暴露了Kubernetes错误,那么使用它只是时间问题。

换句话说,Red Hat表示:

特权升级漏洞使任何未经授权的用户都可以在Kubernetes容器中运行的任何计算节点上获得全部管理员特权。

这不只是盗窃或注入恶意代码的机会,它还可以减少组织防火墙内的应用程序和生产服务。

任何程序,包括Kubernetes,都容易受到攻击。 Kubernetes发行商已经在发布修复程序。

红帽报告说,其所有基于Kubernetes的产品和服务都受到影响,包括红帽OpenShift容器平台,红帽OpenShift在线和红帽OpenShift专用。

红帽开始向受影响的用户提供补丁和服务更新。

据了解,还没有人使用安全漏洞进行攻击。 Rancher实验室的首席架构师和联合创始人Darren Shepard发现了该错误,并使用Kubernetes漏洞报告流程进行了报告。

如何纠正此故障?

幸运的是,已经发布了此错误的修复程序。。 仅在其中 他们被要求执行Kubernetes更新 因此他们可以选择某些Kubernetes修补版本v1.10.11,v1.11.5,v1.12.3和v1.13.0-RC.1。

因此,如果您仍在使用任何Kubernetes v1.0.x-1.9.x版本,建议您升级到固定版本。

如果由于某种原因他们不能更新Kubernetes 并且他们想要停止此故障,有必要执行以下过程。

对于不应该完全访问kubelet API的用户,您应该停止使用服务器聚合API或删除pod exec / attach / portforward权限。

修复了该错误的Google软件工程师Jordan Liggitt表示,这些措施可能有害。

因此,针对此安全漏洞的唯一真正解决方案是相应地更新Kubernetes。


发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。