谷歌云修复影响 Kubernetes 服务的提权漏洞
2023-12-29 17:41:2 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌云修复了平台中的一个中危漏洞,它可导致能够访问 Kubernetes 集群的攻击者提升权限。

谷歌云在2023年12月14日发布的安全公告中提到,“能够攻陷 Fluent Bit 记录容器的攻击者可组合该权限和 Anthos Service Mesh 所需的高权限,提升在集群中的权限。”

发现并报告该漏洞的 Palo Alto Networks Unit 42 团队表示,攻击者可利用该漏洞“盗取数据、部署恶意pod并中断集群的操作”。

目前尚无证据表明该漏洞已遭在野利用,不过已在 Google Kubernetes Engine (GKE) 和 Anthos Service Mesh (ASM) 的如下版本中修复:

  • 1.25.16-gke.1020000

  • 1.26.10-gke.1235000

  • 1.27.7-gke.1293000

  • 1.28.4-gke.1083000

  • 1.17.8-asm.8

  • 1.18.6-asm.2

  • 1.19.5-asm.4

成功利用该漏洞的一个关键前提是,攻击者已通过其它初始访问方法如通过一个远程访问执行漏洞,攻陷 FluentBit 容器。谷歌解释称,“GKE 使用 Fluent Bit 处理在集群上运行的工作负载。GKE 上的 Fluent Bit 也配置为收集 Cloud Run 工作负载的日志。用于收集这些日志的配置使得 Fluent Bit 能够访问用于运行在该节点上的其它 Pod 的 Kubernetes 服务账户令牌。”

这意味着威胁行动者可利用该访问权限获得对 Kuberenetes 集群的提升权限,而该集群启用了 ASM 并随后通过 ASM 的服务账户令牌,通过创建具有集群-管理员权限的新 pod 来提升权限。

安全研究员 Shaul Ben Hai 表示,“clusterrole-aggregation-controller (CRAC) 服务账户很可能是入口点,因为它可向已有的集群角色新增任意权限。攻击者可更新与 CRAC 相关的集群角色处理所有权限。”

谷歌已通过推出修复方案的方式,清除了 Fluent Bit 对服务账户令牌的访问权限并重构了 ASM 的功能,清除过度的基于角色的访问控制 (RBAC) 权限。

Ben Hai 总结称,“当启动集群时,云厂商自动创建系统 pod。它们基于 Kubernetes 基础设施基础之上,类似于启用某特性时创建的附加 pod。这是因为云或应用厂商一般创建和管理它们,而用户无法控制配置或权限。由于这些 pod 以提升后的权限运行,因此可能造成极大的风险。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露

谷歌云被用来传播银行木马Telax

研究员发现敏感 Kubernetes 机密被暴露,引发供应链攻击担忧

多个Kubernetes 高危漏洞可用于在 Windows 端点执行远程攻击

Kubernetes 的CRI-O容器引擎中存在严重漏洞

原文链接

https://thehackernews.com/2023/12/google-cloud-resolves-privilege.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518533&idx=1&sn=2cd4cf6cb64d8674ff01d4eb89b22c43&chksm=ea94b82fdde33139a30d7d743eee2c64a91f8291a4eba9f5bf73b936e2e833a01aebbabd7c9d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh