Google Cloud устраняет уязвимость повышения привилегий в сервисе Kubernetes

Облако Googleустранила критическую уязвимость в своей платформе, которая может быть использована злоумышленниками для эскалации уязвимости, к которой они получили доступ вKubernetesПривилегии кластера.
Злоумышленник, взломавший контейнер для ведения логов Fluent Bit, может объединить этот доступ с высокими привилегиями, необходимыми для Anthos Service Mesh (на кластерах с включенной этой функцией), чтобы повысить привилегии в кластере", - говорится в бюллетене компании, опубликованном 14 декабря 2023 года. "
В подразделении 42 компании Palo Alto Networks, которое обнаружило и сообщило о дефекте, заявили, что злоумышленник может использовать его для "кражи данных, развертывания вредоносных капсул и нарушения работы кластера".

В настоящее время нет никаких свидетельств того, что проблема используется в дикой природе. Ниже перечислены версии Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM), в которых проблема была устранена.
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
Ключевым условием для успешной эксплуатации этой уязвимости является то, что злоумышленник уже скомпрометировал контейнер FluentBit с помощью других методов первоначального доступа, например, с помощью уязвимости удаленного выполнения кода.

Google Cloud устраняет уязвимость повышения привилегий в сервисе Kubernetes

Google подробно объясняет: "GKE использует Fluent Bit для обработки журналов рабочих нагрузок, запущенных на кластере. Fluent Bit на GKE также настроен на сбор журналов рабочих нагрузок Cloud Run. Монтирование тома, настроенное на сбор этих журналов, позволяет Fluent Bit получить доступ к токенам учетных записей служб Kubernetes других подсистем, запущенных на узле". Это означает, что угрожающий субъект может использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с ASM, а затем использовать токен учетной записи сервиса ASM для повышения своих привилегий, создав новый Pod с привилегиями администратора кластера.

Исследователь безопасности Шауль Бен Хай говорит: "Учетная запись службы clusterrole-aggregation-controller (CRAC), вероятно, является предпочтительным выбором, поскольку она может добавлять произвольные привилегии к существующим кластерным ролям. Злоумышленник может обновить роль кластера, связанную с CRAC, чтобы получить все привилегии".
В качестве исправления Google отменила доступ Fluent Bit к токенам учетных записей сервисов и переработала функциональность ASM, чтобы устранить избыточные разрешения управления доступом на основе ролей (RBAC).

Бен Хай заключает: "Когда вы запускаете кластер, облачный провайдер автоматически создает системные поды. Они встраиваются в инфраструктуру Kubernetes вместе с подключаемыми подами, созданными при включении функции. Это происходит потому, что поставщик облачных услуг или поставщик приложений обычно создает и управляет ими, а пользователь не имеет никакого контроля над их конфигурацией и разрешениями. Это также может быть очень опасно, поскольку эти Pods запускаются с повышенными привилегиями".

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/ru/облако-google-исправляет-привилегии-kubernetes-html

Нравиться (0)
Предыдущий 26 декабря 2023 пп9:48
Следующий 30 декабря 2023 пп11:03