Το Google Cloud λέει ότι έχει διορθώσει ένα σημαντικό ελάττωμα ασφαλείας

Το Google Cloud διόρθωσε μια ευπάθεια που μπορεί να επέτρεπε σε κακόβουλους παράγοντες με πρόσβαση σε ένα σύμπλεγμα Kubernetes να αυξήσουν τα προνόμιά τους και να προκαλέσουν όλεθρο.

“Ένας εισβολέας που έχει παραβιάσει το κοντέινερ καταγραφής Fluent Bit θα μπορούσε να συνδυάσει αυτήν την πρόσβαση με υψηλά προνόμια που απαιτούνται από το Anthos Service Mesh (σε συμπλέγματα που το έχουν ενεργοποιήσει) για να κλιμακώσει τα προνόμια στο σύμπλεγμα”, ανέφερε η εταιρεία σε μια συμβουλή.

“Τα ζητήματα με το Fluent Bit και το Anthos Service Mesh έχουν μετριαστεί και είναι πλέον διαθέσιμες επιδιορθώσεις. Αυτά τα τρωτά σημεία δεν είναι εκμεταλλεύσιμα από μόνα τους στο GKE και απαιτούν έναν αρχικό συμβιβασμό.”

Κλοπή δεδομένων

Η Google ισχυρίζεται επίσης ότι δεν βρήκε στοιχεία για την εκμετάλλευση των τρωτών σημείων στη φύση.

Όσον αφορά τις διορθώσεις, αυτές είναι οι εκδόσεις του Google Kubernetes Engine (GKE) και του Anthos Service Mesh (ASM) που προστατεύονται:

1.25.16-gke.1020000

1.26.10-gke.1235000

1.27.7-gke.1293000

1.28.4-gke.1083000

1.17.8-ασμ.8

1.18.6-ασμ.2

1.19.5-ασμ.4

Η ευπάθεια ανακαλύφθηκε για πρώτη φορά από τη Μονάδα 42, το τμήμα κυβερνοασφάλειας της Palo Alto Networks,


TheHackerNews


Αναφορές. Στην έκθεσή της, η Μονάδα 42 λέει ότι τα ελαττώματα θα μπορούσαν να χρησιμοποιηθούν για κλοπή δεδομένων, ανάπτυξη κακόβουλων pods και διακοπή των λειτουργιών του συμπλέγματος. Ωστόσο, για να λειτουργήσει, ο εισβολέας πρέπει να έχει εκ των προτέρων ένα παραβιασμένο κοντέινερ Fluent Bit.

“Το GKE χρησιμοποιεί Fluent Bit για την επεξεργασία αρχείων καταγραφής για φόρτους εργασίας που εκτελούνται σε συμπλέγματα”, εξηγεί περαιτέρω η Google. “Το Fluent Bit στο GKE διαμορφώθηκε επίσης να συλλέγει αρχεία καταγραφής για φόρτους εργασίας Cloud Run. Η προσάρτηση τόμου που διαμορφώθηκε για τη συλλογή αυτών των αρχείων καταγραφής έδωσε στο Fluent Bit πρόσβαση σε διακριτικά λογαριασμού υπηρεσίας Kubernetes για άλλα Pods που εκτελούνται στον κόμβο.”

Με άλλα λόγια, ένας χάκερ θα μπορούσε να χρησιμοποιήσει ένα σύμπλεγμα Kubernetes με ενεργοποιημένο το ASM και στη συνέχεια να χρησιμοποιήσει το διακριτικό λογαριασμού υπηρεσίας ASM για να δημιουργήσει ένα νέο pod με δικαιώματα cluster-admin, αυξάνοντας ουσιαστικά τα προνόμιά του στο υψηλότερο επίπεδο.

“Ο λογαριασμός υπηρεσίας clusterrole-agregation-controller (CRAC) είναι πιθανώς ο κορυφαίος υποψήφιος, καθώς μπορεί να προσθέσει αυθαίρετα δικαιώματα σε υπάρχοντες ρόλους συμπλέγματος”, δήλωσε ο ερευνητής ασφαλείας Shaul Ben Hai. “Ο εισβολέας μπορεί να ενημερώσει τον ρόλο του συμπλέγματος που είναι δεσμευμένος στο CRAC ώστε να διαθέτει όλα τα προνόμια.”