Новости Исправление GCP-2023-047: Google борется с хакерами в Kubernetes

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Развёртывание вредоносных модулей и хищение данных успешно предотвращено.


ueozvqizus6ykwhrnx8crqd0rvli0ncy.jpg


Платформа Google Cloud недавно устранила уязвимость средней степени серьёзности, отслеживаемую под внутренним идентификатором Для просмотра ссылки Войди или Зарегистрируйся . Этот недочёт мог быть использован для повышения привилегий злоумышленником, который уже имеет доступ к кластеру Kubernetes .

Проблема заключалась в том, что компрометация контейнера логирования Fluent Bit могла сочетаться с высокими привилегиями, требуемыми Anthos Service Mesh, для эскалации привилегий в кластере. Об этом говорится в Для просмотра ссылки Войди или Зарегистрируйся компании от 14 декабря 2023 года.

Специалисты Unit 42 из Palo Alto Networks , обнаружившие этот недостаток, Для просмотра ссылки Войди или Зарегистрируйся на возможность использования этой уязвимости для кражи данных, развёртывания вредоносных модулей и нарушения работы кластера.

Подтверждений о том, что уязвимость использовалась в реальных атаках, пока нет. Google уже устранил проблему в актуальных версиях Google Kubernetes Engine ( GKE ) и Anthos Service Mesh ( ASM ).

Уязвимость могла быть успешно использована только при условии, что злоумышленник уже скомпрометировал контейнер FluentBit другим способом, например, через уязвимость удалённого выполнения кода.

В Google Cloud отметили, что GKE использует Fluent Bit для обработки логов рабочих нагрузок, запущенных в кластерах. Fluent Bit в GKE был настроен также для сбора логов для рабочих нагрузок Cloud Run. Эта настройка предоставляла Fluent Bit доступ к токенам учётных записей Kubernetes для других подов, запущенных на узле.

Таким образом, злоумышленник мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с включённым ASM, а затем использовать токен учётной записи ASM для эскалации своих привилегий путём создания нового модуля с правами администратора кластера.

Google устранил уязвимость, удалив доступ Fluent Bit к токенам учётных записей и перестроив функциональность ASM для уменьшения чрезмерных разрешений на основе ролевого контроля доступа.

Эксперт по безопасности Шауль Бен Хай подчеркнул риски, связанные с системными модулями, автоматически создаваемыми при запуске кластера. Они встроены в инфраструктуру Kubernetes и сразу запускаются с повышенными привилегиями, что несёт за собой весьма конкретный и реальный риск.
 
Источник новости
www.securitylab.ru

Похожие темы