Облако Googleустранила критическую уязвимость в своей платформе, которая может быть использована злоумышленниками для эскалации уязвимости, к которой они получили доступ вKubernetesПривилегии кластера.
Злоумышленник, взломавший контейнер для ведения логов Fluent Bit, может объединить этот доступ с высокими привилегиями, необходимыми для Anthos Service Mesh (на кластерах с включенной этой функцией), чтобы повысить привилегии в кластере", - говорится в бюллетене компании, опубликованном 14 декабря 2023 года. "
В подразделении 42 компании Palo Alto Networks, которое обнаружило и сообщило о дефекте, заявили, что злоумышленник может использовать его для "кражи данных, развертывания вредоносных капсул и нарушения работы кластера".
В настоящее время нет никаких свидетельств того, что проблема используется в дикой природе. Ниже перечислены версии Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM), в которых проблема была устранена.
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
Ключевым условием для успешной эксплуатации этой уязвимости является то, что злоумышленник уже скомпрометировал контейнер FluentBit с помощью других методов первоначального доступа, например, с помощью уязвимости удаленного выполнения кода.
Google подробно объясняет: "GKE использует Fluent Bit для обработки журналов рабочих нагрузок, запущенных на кластере. Fluent Bit на GKE также настроен на сбор журналов рабочих нагрузок Cloud Run. Монтирование тома, настроенное на сбор этих журналов, позволяет Fluent Bit получить доступ к токенам учетных записей служб Kubernetes других подсистем, запущенных на узле". Это означает, что угрожающий субъект может использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с ASM, а затем использовать токен учетной записи сервиса ASM для повышения своих привилегий, создав новый Pod с привилегиями администратора кластера.
Исследователь безопасности Шауль Бен Хай говорит: "Учетная запись службы clusterrole-aggregation-controller (CRAC), вероятно, является предпочтительным выбором, поскольку она может добавлять произвольные привилегии к существующим кластерным ролям. Злоумышленник может обновить роль кластера, связанную с CRAC, чтобы получить все привилегии".
В качестве исправления Google отменила доступ Fluent Bit к токенам учетных записей сервисов и переработала функциональность ASM, чтобы устранить избыточные разрешения управления доступом на основе ролей (RBAC).
Бен Хай заключает: "Когда вы запускаете кластер, облачный провайдер автоматически создает системные поды. Они встраиваются в инфраструктуру Kubernetes вместе с подключаемыми подами, созданными при включении функции. Это происходит потому, что поставщик облачных услуг или поставщик приложений обычно создает и управляет ими, а пользователь не имеет никакого контроля над их конфигурацией и разрешениями. Это также может быть очень опасно, поскольку эти Pods запускаются с повышенными привилегиями".
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/google-cloud-fixes-kubernetes-privilege.html.