Google Wolkehat eine kritische Sicherheitslücke in seiner Plattform behoben, die von Angreifern ausgenutzt werden kann, um eine Sicherheitslücke, auf die sie imKubernetesCluster-Privilegien.
Ein Angreifer, der den Fluent Bit Logging Container kompromittiert hat, könnte diesen Zugriff mit den hohen Privilegien kombinieren, die für Anthos Service Mesh (auf Clustern mit aktivierter Funktion) erforderlich sind, um die Privilegien im Cluster zu erhöhen", so das Unternehmen in einem Bulletin vom 14. Dezember 2023. "
Palo Alto Networks Unit 42, die die Schwachstelle entdeckt und gemeldet hat, sagte, dass ein Angreifer sie für "Datendiebstahl, die Bereitstellung bösartiger Pods und die Störung des Clusterbetriebs" nutzen könnte.
Derzeit gibt es keine Hinweise darauf, dass das Problem in freier Wildbahn ausgenutzt wird. Im Folgenden sind die Versionen von Google Kubernetes Engine (GKE) und Anthos Service Mesh (ASM) aufgeführt, die das Problem behoben haben.
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
Die wichtigste Voraussetzung für die erfolgreiche Ausnutzung dieser Schwachstelle ist, dass der Angreifer den FluentBit-Container bereits durch andere Methoden des Erstzugriffs kompromittiert hat, z. B. durch eine Schwachstelle bei der Remotecodeausführung.
Google erklärt im Detail: "GKE verwendet Fluent Bit, um Protokolle von Arbeitslasten zu verarbeiten, die auf dem Cluster ausgeführt werden.Fluent Bit auf GKE ist auch konfiguriert, um Protokolle von Cloud Run-Arbeitslasten zu sammeln. Der Volume Mount, der für das Sammeln dieser Protokolle konfiguriert ist, ermöglicht Fluent Bit den Zugriff auf die Kubernetes-Service-Kontotoken anderer Pods, die auf dem Knoten laufen." Dies bedeutet, dass ein Bedrohungsakteur diesen Zugriff nutzen könnte, um privilegierten Zugriff auf einen ASM-aktivierten Kubernetes-Cluster zu erhalten und dann das Service-Konto-Token des ASM zu verwenden, um seine Privilegien zu erhöhen, indem er einen neuen Pod mit Cluster-Administrator-Rechten erstellt.
Der Sicherheitsforscher Shaul Ben Hai sagte: "Das Dienstkonto clusterrole-aggregation-controller (CRAC) ist wahrscheinlich die bevorzugte Wahl, da es beliebige Privilegien zu bestehenden Clusterrollen hinzufügen kann. Ein Angreifer kann die an CRAC gebundene Clusterrolle aktualisieren, um alle Privilegien zu erlangen".
Zur Behebung des Problems hat Google den Zugriff von Fluent Bit auf Dienstkonten-Tokens aufgehoben und die Funktionalität von ASM überarbeitet, um übermäßige rollenbasierte Zugriffssteuerungsberechtigungen (RBAC) zu eliminieren.
Ben Hai fasst zusammen: "Wenn Sie einen Cluster starten, erstellt der Cloud-Anbieter automatisch System-Pods. Sie werden zusammen mit den Plugin-Pods, die bei Aktivierung der Funktion erstellt werden, in Ihre Kubernetes-Infrastruktur integriert. Der Grund dafür ist, dass der Cloud-Anbieter oder der Anwendungsanbieter diese Pods in der Regel erstellt und verwaltet, während der Benutzer keine Kontrolle über ihre Konfiguration oder Berechtigungen hat. Dies kann auch sehr gefährlich sein, da diese Pods mit erhöhten Rechten laufen."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/google-cloud-behebt-kubernetes-privilege-html
