尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
現在有一種不留痕跡的方式可以黑入非常流行的雲容器編排系統Kubernetes。
Kubernetes是一系列開源項目,用於使容器化應用程序的部署、擴展和管理做到自動化。
到目前為止,Kubernetes已成為最受歡迎的雲容器編排系統,所以發現它的第一個重大安全漏洞只是早晚的事情。這個編號為VE-2018-1002105的漏洞(又叫Kubernetes權限升級漏洞)很棘手。這是一個CVSS 9.8高危安全漏洞。
借助一個精心設計的網路請求,任何用戶都可以通過Kubernetes應用編程接口(API)服務器與後端服務器建立連接。一旦連接建立起來,攻擊者可以通過網路連接直接向該後端發送任意請求。問題更加嚴重的是,這些請求是用Kubernetes API服務器的傳輸層安全(TLS)登錄信息來驗證身份的。
你可以說是root權限嗎?可以這麼說。
更為糟糕的是,「在默認配置中,允許所有用戶(身份經過驗證的用戶和身份未經驗證的用戶)都可以執行允許此升級的發現API調用。」所以,沒錯,凡是了解這個漏洞的人都可以控制你的Kubernetes集群。
雪上加霜的是:「目前沒有簡單的方法來檢測該安全漏洞是否已被人利用。由於未經授權的請求是通過已建立的連接進行的,因此它們並不出現在Kubernetes API服務器審核日志或服務器日志中。請求確實出現在kubelet(每個節點上運行的主節點代理)或聚合的API服務器日志中,但是無法與通過Kubernetes API服務器正確授權和代理的請求區別開來。」
換句話說,Red Hat表示「這個權限升級漏洞使得任何用戶都可以全面獲得在Kubernetes pod中運行的任何計算節點上的管理員權限。這是重大問題。不法分子不僅可以竊取敏感數據或注入惡意代碼,他們還可以從企業組織的防火牆里面肆意破壞生產應用程序和服務。」
幸好有一個解決辦法,但一些人不會喜歡這個辦法:必須升級Kubernetes,趕緊升級。具體來說,Kubernetes v1.10.11、v1.11.5、v1.12.3和v1.13.0-rc.1這些版本已有相應的補丁。
如果你仍在使用Kubernetes v1.0.x-1.9.x,趕緊住手。更新到已有補丁的版本。如果由於某種原因你無法升級,有一些補救方法,但這些補丁方法比問題本身還要糟糕。你必須暫停使用聚合的API服務器,針對不該全面訪問kubelet API的用戶刪除其pod執行/連接/端口轉PO等權限。Google軟件工程師喬丹•利格特(Jordan Liggitt)表示,這些應對方法可能具有破壞性。你認為呢?
唯一真正的解決方法就是升級Kubernetes。
任何包含Kubernetes的程序都很容易受到攻擊。Kubernetes發行商已經在發布修復程序。
Red Hat報告其所有「基於Kubernetes的服務和產品(包括Red Hat OpenShift容器平台、Red Hat OpenShift Online和Red Hat OpenShift Dedicated)都受到影響。」Red Hat已經開始向受影響的用戶提供補丁和服務更新。
目前還沒有人利用該安全漏洞攻擊任何人。Rancher Labs的首席架構師兼聯合創始人謝達倫•謝潑德(Darren Shepard)發現了該漏洞,並使用Kubernetes漏洞報告流程報告了漏洞。
但要提醒的一點是,鑽這個漏洞的空子在日志中不會留下任何明顯的痕跡。而且,鑒於關於Kubernetes權限升級漏洞的消息現已傳開來,該漏洞早晚會被人鑽空子。
因此,趕緊升級Kubernetes系統,免得貴公司到頭來攤上大麻煩。
