聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌云在2023年12月14日发布的安全公告中提到,“能够攻陷 Fluent Bit 记录容器的攻击者可组合该权限和 Anthos Service Mesh 所需的高权限,提升在集群中的权限。”
发现并报告该漏洞的 Palo Alto Networks Unit 42 团队表示,攻击者可利用该漏洞“盗取数据、部署恶意pod并中断集群的操作”。
目前尚无证据表明该漏洞已遭在野利用,不过已在 Google Kubernetes Engine (GKE) 和 Anthos Service Mesh (ASM) 的如下版本中修复:
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
成功利用该漏洞的一个关键前提是,攻击者已通过其它初始访问方法如通过一个远程访问执行漏洞,攻陷 FluentBit 容器。谷歌解释称,“GKE 使用 Fluent Bit 处理在集群上运行的工作负载。GKE 上的 Fluent Bit 也配置为收集 Cloud Run 工作负载的日志。用于收集这些日志的配置使得 Fluent Bit 能够访问用于运行在该节点上的其它 Pod 的 Kubernetes 服务账户令牌。”
这意味着威胁行动者可利用该访问权限获得对 Kuberenetes 集群的提升权限,而该集群启用了 ASM 并随后通过 ASM 的服务账户令牌,通过创建具有集群-管理员权限的新 pod 来提升权限。
安全研究员 Shaul Ben Hai 表示,“clusterrole-aggregation-controller (CRAC) 服务账户很可能是入口点,因为它可向已有的集群角色新增任意权限。攻击者可更新与 CRAC 相关的集群角色处理所有权限。”
谷歌已通过推出修复方案的方式,清除了 Fluent Bit 对服务账户令牌的访问权限并重构了 ASM 的功能,清除过度的基于角色的访问控制 (RBAC) 权限。
Ben Hai 总结称,“当启动集群时,云厂商自动创建系统 pod。它们基于 Kubernetes 基础设施基础之上,类似于启用某特性时创建的附加 pod。这是因为云或应用厂商一般创建和管理它们,而用户无法控制配置或权限。由于这些 pod 以提升后的权限运行,因此可能造成极大的风险。”
谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露
研究员发现敏感 Kubernetes 机密被暴露,引发供应链攻击担忧
https://thehackernews.com/2023/12/google-cloud-resolves-privilege.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~