Odkrita prva večja varnostna luknja Kubernetesa

Kubernetes je postal daleč najbolj priljubljen sistem za orkestracijo vsebnikov v oblaku, zato je bilo le vprašanje časa, kdaj bodo odkrili njegovo prvo večjo varnostno luknjo. In hrošč, CVE-2018-1002105, imenovano napaka stopnjevanja privilegijev Kubernetes, je doozy. Je Kritična varnostna luknja CVSS 9.8.

S posebej oblikovano omrežno zahtevo lahko vsak uporabnik prek strežnika programskega vmesnika (API) Kubernetes vzpostavi povezavo z zalednim strežnikom. Ko je vzpostavljen, lahko napadalec pošlje poljubne zahteve prek omrežne povezave neposredno v to zaledje. Poleg tega so te zahteve overjene s poverilnicami za varnost transportnega sloja (TLS) strežnika Kubernetes API.

tudi: Kako hitro namestiti Kubernetes na Ubuntu TechRepublic

Lahko rečeš root? Vedel sem, da lahko.

Še huje, "v privzetih konfiguracijah je vsem uporabnikom (preverjenim in nepreverjenim) dovoljeno izvajanje odkrivanja Klici API-ja, ki omogočajo to stopnjevanje." Torej, da, vsakdo, ki ve za to luknjo, lahko prevzame nadzor nad vašim Kubernetesom grozd.

Oh, in za zadnji sunek bolečine: "Ni preprostega načina za odkrivanje, ali je bila ta ranljivost uporabljena. Ker so nepooblaščene zahteve podane prek vzpostavljene povezave, niso prikazane v dnevnikih revizije strežnika Kubernetes API ali dnevniku strežnika. Zahteve so sicer prikazane v kubelet ali združenih dnevnikih strežnika API, vendar jih ni mogoče razlikovati od pravilno avtoriziranih in posredniških zahtev prek strežnika API Kubernetes."

Z drugimi besedami, rdeč klobuk je dejal: "Napaka stopnjevanja privilegijev omogoča vsakemu uporabniku, da pridobi polne skrbniške pravice na katerem koli računalniškem vozlišču, ki se izvaja v Kubernetes pod. To je velika stvar. Ne samo, da lahko ta akter ukrade občutljive podatke ali vbrizga zlonamerno kodo, ampak lahko tudi prekine produkcijske aplikacije in storitve znotraj požarnega zidu organizacije."

Na srečo obstaja popravek, vendar nekaterim od vas ne bo všeč. Kubernetes morate nadgraditi. zdaj. Natančneje, obstaja popravljena različica Kubernetesa v1.10.11, v1.11.5, v1.12.3, in v1.13.0-rc.1.

Če še vedno uporabljate Kubernetes v1.0.x-1.9.x, prenehajte. Posodobite na popravljeno različico. Če se iz nekega razloga ne morete dvigniti, obstajajo zdravila, a so skoraj hujša od bolezni. Prekiniti morate uporabo združenih strežnikov API in odstraniti dovoljenja pod exec/attach/portforward za uporabnike, ki ne bi smeli imeti polnega dostopa do API-ja kubelet. Jordan Liggitt, Googlov programski inženir, ki je odpravil napako, je dejal, da bodo te ublažitve verjetno moteče. Misliš?

Edina prava rešitev je nadgradnja Kubernetesa.

tudi: Kubernetes: Vodnik pametnega človeka TechRepublic

Vsak program, ki vključuje Kubernetes, je ranljiv. Distributerji Kubernetes že objavljajo popravke.

Red Hat poroča o vseh svojih "storitvah in izdelkih, ki temeljijo na Kubernetesu - vključno s kontejnersko platformo Red Hat OpenShift, Red Hat OpenShift Online in Red Hat OpenShift Dedicated -- so prizadeti." Red Hat je prizadetim uporabnikom začel dostavljati popravke in posodobitve storitev.

Kolikor je komu znano, še nihče ni uporabil varnostne luknje, da bi koga napadel. Darren Shepard, glavni arhitekt in soustanovitelj pri Rancher Labs, je odkril napako in jo prijavil z uporabo Postopek poročanja o ranljivosti Kubernetes.

Toda -- in to je velik toda -- zloraba ranljivosti ne bi pustila očitnih sledi v dnevnikih. In zdaj, ko so objavljene novice o napaki stopnjevanja privilegijev Kubernetes, je samo vprašanje časa, kdaj bo zlorabljena.

Torej, še enkrat in z občutkom nadgradite svoje sisteme Kubernetes zdaj, preden se vaše podjetje znajde v svetu težav.

Povezane zgodbe:

• Kaj Kubernetes v resnici je in kako orkestracija na novo opredeljuje podatkovni center
• Red Hat združuje Kubernetes s platformo Red Hat OpenStack 14
• Onkraj Kubernetesa: mreža omrežnih storitev Istio