現(xiàn)在有一種不留痕跡的方式可以黑入非常流行的云容器編排系統(tǒng)Kubernetes��。
Kubernetes是一系列開源項(xiàng)目��,用于使容器化應(yīng)用程序的部署��、擴(kuò)展和管理實(shí)現(xiàn)自動(dòng)化���。
到目前為止,Kubernetes已成為最受歡迎的云容器編排系統(tǒng)�,所以發(fā)現(xiàn)它的第一個(gè)重大安全漏洞只是早晚的事情。這個(gè)編號為VE-2018-1002105的漏洞(又叫Kubernetes權(quán)限升級漏洞)很棘手��。這是一個(gè)CVSS 9.8高危安全漏洞�����。
借助一個(gè)精心設(shè)計(jì)的網(wǎng)絡(luò)請求��,任何用戶都可以通過Kubernetes應(yīng)用編程接口(API)服務(wù)器與后端服務(wù)器建立連接�。一旦連接建立起來,攻擊者可以通過網(wǎng)絡(luò)連接直接向該后端發(fā)送任意請求�����。問題更加嚴(yán)重的是����,這些請求是用Kubernetes API服務(wù)器的傳輸層安全(TLS)登錄信息來驗(yàn)證身份的�����。
你可以說是root權(quán)限嗎����?可以這么說����。
更為糟糕的是,“在默認(rèn)配置中����,允許所有用戶(身份經(jīng)過驗(yàn)證的用戶和身份未經(jīng)驗(yàn)證的用戶)都可以執(zhí)行允許此升級的發(fā)現(xiàn)API調(diào)用。”所以����,沒錯(cuò),凡是了解這個(gè)漏洞的人都可以控制你的Kubernetes集群�����。
雪上加霜的是:“目前沒有簡單的方法來檢測該安全漏洞是否已被人利用。由于未經(jīng)授權(quán)的請求是通過已建立的連接進(jìn)行的��,因此它們并不出現(xiàn)在Kubernetes API服務(wù)器審核日志或服務(wù)器日志中��。請求確實(shí)出現(xiàn)在kubelet(每個(gè)節(jié)點(diǎn)上運(yùn)行的主節(jié)點(diǎn)代理)或聚合的API服務(wù)器日志中�����,但是無法與通過Kubernetes API服務(wù)器正確授權(quán)和代理的請求區(qū)別開來��。”
換句話說�,Red Hat表示“這個(gè)權(quán)限升級漏洞使得任何用戶都可以全面獲得在Kubernetes pod中運(yùn)行的任何計(jì)算節(jié)點(diǎn)上的管理員權(quán)限��。這是重大問題��。不法分子不僅可以竊取敏感數(shù)據(jù)或注入惡意代碼���,他們還可以從企業(yè)組織的防火墻里面肆意破壞生產(chǎn)應(yīng)用程序和服務(wù)����。”
幸好有一個(gè)解決辦法�����,但一些人不會(huì)喜歡這個(gè)辦法:必須升級Kubernetes,趕緊升級�。具體來說,Kubernetes v1.10.11����、v1.11.5、v1.12.3和v1.13.0-rc.1這些版本已有相應(yīng)的補(bǔ)丁���。
如果你仍在使用Kubernetes v1.0.x-1.9.x�����,趕緊住手�。更新到已有補(bǔ)丁的版本�。如果由于某種原因你無法升級,有一些補(bǔ)救方法�,但這些補(bǔ)丁方法比問題本身還要糟糕。你必須暫停使用聚合的API服務(wù)器��,針對不該全面訪問kubelet API的用戶刪除其pod執(zhí)行/連接/端口轉(zhuǎn)發(fā)等權(quán)限�����。谷歌軟件工程師喬丹•利格特(Jordan Liggitt)表示�����,這些應(yīng)對方法可能具有破壞性。你認(rèn)為呢��?
唯一真正的解決方法就是升級Kubernetes����。
任何包含Kubernetes的程序都很容易受到攻擊。Kubernetes發(fā)行商已經(jīng)在發(fā)布修復(fù)程序����。
Red Hat報(bào)告其所有“基于Kubernetes的服務(wù)和產(chǎn)品(包括Red Hat OpenShift容器平臺(tái)�、Red Hat OpenShift Online和Red Hat OpenShift Dedicated)都受到影響。”Red Hat已經(jīng)開始向受影響的用戶提供補(bǔ)丁和服務(wù)更新�。
目前還沒有人利用該安全漏洞攻擊任何人。Rancher Labs的首席架構(gòu)師兼聯(lián)合創(chuàng)始人謝達(dá)倫•謝潑德(Darren Shepard)發(fā)現(xiàn)了該漏洞�,并使用Kubernetes漏洞報(bào)告流程報(bào)告了漏洞。
但要提醒的一點(diǎn)是�����,鉆這個(gè)漏洞的空子在日志中不會(huì)留下任何明顯的痕跡��。而且�,鑒于關(guān)于Kubernetes權(quán)限升級漏洞的消息現(xiàn)已傳開來,該漏洞早晚會(huì)被人鉆空子。
因此��,趕緊升級Kubernetes系統(tǒng)��,免得貴公司到頭來攤上大麻煩���。
在線咨詢
在線咨詢
0371-63319761
