Google Cloud исправил уязвимость безопасности, которая могла позволить злоумышленникам, имеющим доступ к кластеру Kubernetes, повысить свои привилегии и нанести ущерб.
«Злоумышленник, скомпрометировавший контейнер журналирования Fluent Bit, может объединить этот доступ с высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где он включен), для повышения привилегий в кластере», — говорится в рекомендации компании.
«Проблемы с Fluent Bit и Anthos Service Mesh решены, и теперь доступны исправления. Эти уязвимости невозможно использовать только в GKE, и они требуют первоначального компрометации».
Кража данных
Google также утверждает, что не нашел никаких доказательств того, что уязвимости используются в реальных условиях.
Исправления представляют собой защищенные версии Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM):
1.25.16-гке.1020000
1.26.10-гке.1235000
1.27.7-гке.1293000
1.28.4-gke.1083000
1.17.8-асм.8
1.18.6-сборка.2
1.19.5-сборка.4
Уязвимость была впервые обнаружена Unit 42, подразделением кибербезопасности Palo Alto Networks. TheHackerНовости Отчеты. В своем отчете Unit 42 утверждает, что уязвимости могут быть использованы для кражи данных, развертывания вредоносных модулей и нарушения работы кластера. Однако для того, чтобы это сработало, злоумышленнику необходимо заранее иметь скомпрометированный контейнер Fluent Bit.
«GKE использует Fluent Bit для обработки протоколов рабочих нагрузок, выполняемых в кластерах», — поясняет Google. «Fluent Bit на GKE также настроен для сбора журналов для рабочих нагрузок Cloud Run. Томовое развертывание, настроенное для сбора этих журналов, позволило Fluent Bit получить доступ к токенам сервисных учетных записей Kubernetes для других модулей, работающих на узле».
Другими словами, хакер может использовать кластер Kubernetes с включенным ASM, а затем использовать токен сервисной учетной записи ASM для создания нового модуля с привилегиями администратора кластера, эффективно повышая свои привилегии до самого высокого уровня.
«Служебная учетная запись Clusterrole Aggregation Controller (CRAC), вероятно, является лучшим кандидатом, поскольку она может добавлять произвольные разрешения к существующим ролям кластера», — сказал исследователь безопасности Шауль Бен Хай. «Злоумышленник может обновить роль кластера, привязанную к CRAC, чтобы получить полные разрешения».
Больше от TechRadar Pro
