Brother
Professional
- Messages
- 2,590
- Reaction score
- 480
- Points
- 83
Google Cloud устранила уязвимость в системе безопасности своей платформы средней степени тяжести, которой мог воспользоваться злоумышленник, уже имеющий доступ к кластеру Kubernetes для повышения своих привилегий.
"Злоумышленник, взломавший контейнер ведения журнала Fluent Bit, мог объединить этот доступ с высокими привилегиями, требуемыми Anthos Service Mesh (в кластерах, которые включили его), для повышения привилегий в кластере", - сказала компания в рамках рекомендации, опубликованной 14 декабря 2023 года.
Подразделение Palo Alto Networks 42, обнаружившее недостаток и сообщившее о нем, заявило, что злоумышленники могут использовать его для "кражи данных, развертывания вредоносных модулей и нарушения работы кластера".
Нет никаких доказательств того, что проблема использовалась повсеместно. Она была устранена в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM). -
"GKE использует Fluent Bit для обработки журналов для рабочих нагрузок, выполняемых в кластерах", - уточнил Google. "Fluent Bit в GKE также был настроен для сбора журналов для рабочих нагрузок, выполняемых в облаке. Подключение тома, настроенное для сбора этих журналов, предоставляло свободный доступ к токенам учетной записи службы Kubernetes для других модулей, запущенных на узле."
Это означало, что субъект угрозы мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes, в котором включена ASM, а затем впоследствии использовать токен учетной записи службы ASM для повышения своих привилегий путем создания нового модуля с правами администратора кластера.
"Учетная запись службы clusterrole-aggregation-controller (CRAC), вероятно, является ведущим кандидатом, поскольку она может добавлять произвольные разрешения к существующим ролям кластера", - сказал исследователь безопасности Шауль Бен Хай. "Злоумышленник может обновить роль кластера, привязанную к CRAC, чтобы получить все привилегии".
В качестве исправлений Google удалил доступ Fluent Bit к токенам учетной записи службы и изменил архитектуру функциональности ASM, чтобы удалить чрезмерные разрешения на основе ролевого контроля доступа (RBAC).
"Поставщики облачных технологий автоматически создают системные модули при запуске вашего кластера", - заключил Бен Хай. "Они встроены в вашу инфраструктуру Kubernetes так же, как модули надстроек, которые были созданы при включении той или иной функции".
"Это связано с тем, что поставщики облаков или приложений обычно создают их и управляют ими, а пользователь не имеет никакого контроля над их конфигурацией или разрешениями. Это также может быть чрезвычайно рискованно, поскольку эти модули работают с повышенными привилегиями".
"Злоумышленник, взломавший контейнер ведения журнала Fluent Bit, мог объединить этот доступ с высокими привилегиями, требуемыми Anthos Service Mesh (в кластерах, которые включили его), для повышения привилегий в кластере", - сказала компания в рамках рекомендации, опубликованной 14 декабря 2023 года.
Подразделение Palo Alto Networks 42, обнаружившее недостаток и сообщившее о нем, заявило, что злоумышленники могут использовать его для "кражи данных, развертывания вредоносных модулей и нарушения работы кластера".
Нет никаких доказательств того, что проблема использовалась повсеместно. Она была устранена в следующих версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM). -
- 1.25.16-gke.1020000
- 1.26.10-gke.1235000
- 1.27.7-gke.1293000
- 1.28.4-gke.1083000
- 1.17.8-asm.8
- 1.18.6-asm.2
- 1.19.5-asm.4
"GKE использует Fluent Bit для обработки журналов для рабочих нагрузок, выполняемых в кластерах", - уточнил Google. "Fluent Bit в GKE также был настроен для сбора журналов для рабочих нагрузок, выполняемых в облаке. Подключение тома, настроенное для сбора этих журналов, предоставляло свободный доступ к токенам учетной записи службы Kubernetes для других модулей, запущенных на узле."
Это означало, что субъект угрозы мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes, в котором включена ASM, а затем впоследствии использовать токен учетной записи службы ASM для повышения своих привилегий путем создания нового модуля с правами администратора кластера.
"Учетная запись службы clusterrole-aggregation-controller (CRAC), вероятно, является ведущим кандидатом, поскольку она может добавлять произвольные разрешения к существующим ролям кластера", - сказал исследователь безопасности Шауль Бен Хай. "Злоумышленник может обновить роль кластера, привязанную к CRAC, чтобы получить все привилегии".
В качестве исправлений Google удалил доступ Fluent Bit к токенам учетной записи службы и изменил архитектуру функциональности ASM, чтобы удалить чрезмерные разрешения на основе ролевого контроля доступа (RBAC).
"Поставщики облачных технологий автоматически создают системные модули при запуске вашего кластера", - заключил Бен Хай. "Они встроены в вашу инфраструктуру Kubernetes так же, как модули надстроек, которые были созданы при включении той или иной функции".
"Это связано с тем, что поставщики облаков или приложений обычно создают их и управляют ими, а пользователь не имеет никакого контроля над их конфигурацией или разрешениями. Это также может быть чрезвычайно рискованно, поскольку эти модули работают с повышенными привилегиями".
