Kubernetes成為迄今為止最受歡迎的雲容器系統。 所以實際上 發現他的第一個主要安全漏洞只是時間問題。
就是這樣,因為最近 Kubernetes中的第一個主要安全漏洞是在CVE-2018-1002105下發布的,也稱為特權升級失敗。
Kubernetes的這個主要缺陷是一個問題,因為它是CVSS 9.8的關鍵安全漏洞。 如果出現第一個主要的Kubernetes安全漏洞。
錯誤詳情
使用專門設計的請求網絡,任何用戶都可以通過以下方式建立連接 從應用程序編程接口服務器(API)Kubernetes到後端服務器。
一旦建立, 攻擊者可以通過網絡連接直接向該後端發送任意請求 在任何時候,目標都是該服務器。
這些請求使用TLS憑據進行身份驗證 Kubernetes API服務器的(傳輸層安全性)。
更糟糕的是,在默認配置下,所有用戶(無論是否經過身份驗證)都可以運行API發現調用,從而使攻擊者可以升級此特權。
因此,任何知道此漏洞的人都可以利用它來控制其Kubernetes集群。
目前,沒有簡單的方法來檢測以前是否使用過此漏洞。
由於未經授權的請求是通過已建立的連接發出的,因此它們不會出現在Kubernetes API服務器審核日誌或服務器日誌中。
請求出現在匯總API服務器或kubelet日誌中,但它們與通過Kubernetes API服務器正確授權和代理的請求有所區別。
虐待 Kubernetes中的這個新漏洞 它不會在日誌中留下明顯的痕跡,因此,既然已經暴露了Kubernetes錯誤,那麼使用它只是時間問題。
換句話說,Red Hat表示:
特權升級漏洞使任何未經授權的用戶都可以在Kubernetes容器中運行的任何計算節點上獲得完全的管理員特權。
這不只是盜竊或註入惡意代碼的機會,它還可以減少組織防火牆內的應用程序和生產服務。
任何程序,包括Kubernetes,都容易受到攻擊。 Kubernetes發行商已經在發布修復程序。
紅帽報告說,其所有基於Kubernetes的產品和服務都受到影響,包括紅帽OpenShift容器平台,紅帽OpenShift在線和紅帽OpenShift專用。
紅帽開始向受影響的用戶提供補丁和服務更新。
據了解,還沒有人使用該安全漏洞進行攻擊。 Rancher實驗室的首席架構師和聯合創始人Darren Shepard發現了該錯誤,並使用Kubernetes漏洞報告流程進行了報告。
如何糾正此故障?
幸運的是,此錯誤的修復程序已經發布。。 僅在其中 他們被要求執行Kubernetes更新 因此他們可以選擇某些Kubernetes修補版本v1.10.11,v1.11.5,v1.12.3和v1.13.0-RC.1。
因此,如果您仍在使用任何Kubernetes v1.0.x-1.9.x版本,建議您升級到固定版本。
如果由於某種原因他們不能更新Kubernetes 並且他們想要停止此故障,有必要執行以下過程。
對於不應該完全訪問kubelet API的用戶,您應該停止使用服務器聚合API或刪除pod exec / attach / portforward權限。
修復了該錯誤的Google軟件工程師Jordan Liggitt表示,這些措施可能有害。
因此,針對此安全漏洞的唯一真正解決方案是執行相應的Kubernetes更新。