Развёртывание вредоносных модулей и хищение данных успешно предотвращено.
Платформа Google Cloud недавно устранила уязвимость средней степени серьёзности, отслеживаемую под внутренним идентификатором Для просмотра ссылки Войдиили Зарегистрируйся . Этот недочёт мог быть использован для повышения привилегий злоумышленником, который уже имеет доступ к кластеру Kubernetes .
Проблема заключалась в том, что компрометация контейнера логирования Fluent Bit могла сочетаться с высокими привилегиями, требуемыми Anthos Service Mesh, для эскалации привилегий в кластере. Об этом говорится в Для просмотра ссылки Войдиили Зарегистрируйся компании от 14 декабря 2023 года.
Специалисты Unit 42 из Palo Alto Networks , обнаружившие этот недостаток, Для просмотра ссылки Войдиили Зарегистрируйся на возможность использования этой уязвимости для кражи данных, развёртывания вредоносных модулей и нарушения работы кластера.
Подтверждений о том, что уязвимость использовалась в реальных атаках, пока нет. Google уже устранил проблему в актуальных версиях Google Kubernetes Engine ( GKE ) и Anthos Service Mesh ( ASM ).
Уязвимость могла быть успешно использована только при условии, что злоумышленник уже скомпрометировал контейнер FluentBit другим способом, например, через уязвимость удалённого выполнения кода.
В Google Cloud отметили, что GKE использует Fluent Bit для обработки логов рабочих нагрузок, запущенных в кластерах. Fluent Bit в GKE был настроен также для сбора логов для рабочих нагрузок Cloud Run. Эта настройка предоставляла Fluent Bit доступ к токенам учётных записей Kubernetes для других подов, запущенных на узле.
Таким образом, злоумышленник мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с включённым ASM, а затем использовать токен учётной записи ASM для эскалации своих привилегий путём создания нового модуля с правами администратора кластера.
Google устранил уязвимость, удалив доступ Fluent Bit к токенам учётных записей и перестроив функциональность ASM для уменьшения чрезмерных разрешений на основе ролевого контроля доступа.
Эксперт по безопасности Шауль Бен Хай подчеркнул риски, связанные с системными модулями, автоматически создаваемыми при запуске кластера. Они встроены в инфраструктуру Kubernetes и сразу запускаются с повышенными привилегиями, что несёт за собой весьма конкретный и реальный риск.
Платформа Google Cloud недавно устранила уязвимость средней степени серьёзности, отслеживаемую под внутренним идентификатором Для просмотра ссылки Войди
Проблема заключалась в том, что компрометация контейнера логирования Fluent Bit могла сочетаться с высокими привилегиями, требуемыми Anthos Service Mesh, для эскалации привилегий в кластере. Об этом говорится в Для просмотра ссылки Войди
Специалисты Unit 42 из Palo Alto Networks , обнаружившие этот недостаток, Для просмотра ссылки Войди
Подтверждений о том, что уязвимость использовалась в реальных атаках, пока нет. Google уже устранил проблему в актуальных версиях Google Kubernetes Engine ( GKE ) и Anthos Service Mesh ( ASM ).
Уязвимость могла быть успешно использована только при условии, что злоумышленник уже скомпрометировал контейнер FluentBit другим способом, например, через уязвимость удалённого выполнения кода.
В Google Cloud отметили, что GKE использует Fluent Bit для обработки логов рабочих нагрузок, запущенных в кластерах. Fluent Bit в GKE был настроен также для сбора логов для рабочих нагрузок Cloud Run. Эта настройка предоставляла Fluent Bit доступ к токенам учётных записей Kubernetes для других подов, запущенных на узле.
Таким образом, злоумышленник мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с включённым ASM, а затем использовать токен учётной записи ASM для эскалации своих привилегий путём создания нового модуля с правами администратора кластера.
Google устранил уязвимость, удалив доступ Fluent Bit к токенам учётных записей и перестроив функциональность ASM для уменьшения чрезмерных разрешений на основе ролевого контроля доступа.
Эксперт по безопасности Шауль Бен Хай подчеркнул риски, связанные с системными модулями, автоматически создаваемыми при запуске кластера. Они встроены в инфраструктуру Kubernetes и сразу запускаются с повышенными привилегиями, что несёт за собой весьма конкретный и реальный риск.
- Источник новости
- www.securitylab.ru