Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Исследователи кибербезопасности обнаружили лазейку, влияющую на Google Kubernetes Engine (GKE), которая потенциально может быть использована злоумышленниками с аккаунтом Google для получения контроля над кластером Kubernetes.
Критический недостаток получил кодовое название Sys: All от компании Orca, занимающейся облачной безопасностью. По оценкам, до 250 000 активных кластеров GKE в дикой природе подвержены этому вектору атаки.
В отчете, опубликованном в Hacker News, исследователь безопасности Офир Якоби сказал, что это "проистекает из, вероятно, широко распространенного заблуждения, что группа проверки подлинности системы в Google Kubernetes Engine включает только проверенные и детерминированные идентификаторы, тогда как на самом деле она включает любую учетную запись Google, прошедшую проверку подлинности (даже за пределами организации)".
Система: аутентифицированная группа - это специальная группа, которая включает все аутентифицированные объекты, включая обычных пользователей и учетные записи служб. В результате это может иметь серьезные последствия, если администраторы непреднамеренно наделят его чрезмерно разрешительными ролями.
В частности, внешний злоумышленник, владеющий учетной записью Google, может злоупотребить этой неверной настройкой, используя свой собственный токен на предъявителя Google OAuth 2.0, чтобы захватить контроль над кластером для последующего использования, такого как боковое перемещение, криптомайнинг, отказ в обслуживании и кража конфиденциальных данных.
Что еще хуже, этот подход не оставляет следов, которые можно было бы связать с реальной учетной записью Gmail или Google Workspace, которая получила токен на предъявителя OAuth.
Было обнаружено, что Sys: All влияет на многочисленные организации, что приводит к передаче различных конфиденциальных данных, таких как токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и учетные данные для реестров контейнеров, последние из которых затем могут быть использованы для троянской атаки на изображения контейнеров.
После ответственного раскрытия информации Google компания предприняла шаги по блокировке привязки system:authenticated group к роли администратора кластера в GKE версий 1.28 и более поздних.
"Чтобы обезопасить ваши кластеры от массовых вредоносных атак, использующих неправильные настройки доступа администратора кластера, кластеры GKE версии 1.28 и более поздних версий не позволяют привязывать кластерную роль администратора кластера к группам system: анонимный пользователь или system: не прошедший проверку подлинности", - отмечает Google now в своей документации.
Google также рекомендует пользователям не привязывать группу system: authenticated group к каким-либо ролям RBAC, а также оценивать, были ли кластеры привязаны к группе, используя как ClusterRoleBindings, так и RoleBindings, и удалять небезопасные привязки.
Orca также предупредила, что, хотя общедоступных данных о крупномасштабной атаке с использованием этого метода нет, это может быть только вопросом времени, и пользователям потребуется предпринять соответствующие шаги для обеспечения контроля доступа к своим кластерам.
"Несмотря на то, что это улучшение, важно отметить, что при этом по-прежнему остается множество других ролей и разрешений, которые могут быть назначены группе", - заявили в компании.
