Che cosa è Kubernetes?
Ecco tutto quello che devi sapere su Kubernetes. Leggi di più: https://zd.net/2N9e0EB
Il Kubernetes progetto ha patchato oggi una pericolosa falla di sicurezza che potrebbe consentire l’intelligente hack dove gli aggressori possono eseguire codice sulla macchina host.
La vulnerabilità non impatto la Kubernetes sistema stesso, ma kubectl (Kube di controllo), l’ufficiale di comando-riga programma di utilità per lavorare con Kubernetes installazioni.
I ricercatori di sicurezza hanno scoperto una falla di sicurezza nel kubectl cp (copy) operazione che viene utilizzato per trasferire file da contenitori a un utente di computer host.
Gli hacker sono in grado di eseguire il codice tramite operazione di “copia”
“Per copiare i file da un contenitore, Kubernetes corre tar all’interno del contenitore per creare un archivio tar, copie in rete, e kubectl decomprime sulla macchina dell’utente,” ha detto Joel Smith, un membro del Kubernetes Prodotto del Comitato per la Sicurezza.
“Se il tar binario nel contenitore è dannoso, può eseguire qualsiasi codice di uscita e di imprevisti, risultati dannosi. Un utente malintenzionato potrebbe utilizzare questo per la scrittura di file su qualsiasi percorso sul computer dell’utente quando kubectl cp è chiamato, limitata solo dal sistema di autorizzazioni dell’utente locale,” ha detto.
Sfruttando questo difetto non è semplice, come un utente malintenzionato primo posto i file dannosi all’interno di un Kubernetes contenitore, e quindi attendere per un Kubernetes admin per trasferire i file al suo sistema.
I file dannosi eseguire automaticamente; tuttavia, questo attacco si basa sulla fortuna e un po ‘ di ingegneria sociale.
Macchina Host hack può portare alla totale compromesso
Tuttavia, Wei Lien Dang, Co-Fondatore e Vice Presidente del Prodotto a StackRox, vede questa vulnerabilità molto pericoloso, a prescindere.
“Questa vulnerabilità è relativo, perché consente a un utente malintenzionato di sovrascrivere sensibili percorsi di file o aggiungere i file che sono programmi dannosi, che potrebbe essere utilizzato per il compromesso significative porzioni di Kubernetes ambienti,” Wei ha detto ZDNet in una e-mail la settimana scorsa.
“Questo tipo di exploit mostra come un client di vulnerabilità potrebbe essere usato per danneggiare gli ambienti di produzione, soprattutto perché abbiamo osservato che le migliori pratiche per mitigare contro questo tipo di minaccia vettoriale non sono sempre seguite.
“Per esempio, gli utenti potrebbero essere in esecuzione kubectl sulla produzione nodi o senza le opportune role-based access control per limitare l’accesso all’intero cluster o con elevato sistema locale di autorizzazioni,” Wei aggiunto.
“Inoltre, la correzione, che è per l’aggiornamento a versioni più recenti di kubectl, può essere più difficile da applicare in quanto dipende dai singoli utenti, così facendo,” l’StackRox exec detto.
Vulnerabilità patch due volte
Questa vulnerabilità, tracciati come CVE-2019-11246, è stato scoperto da Charles Holmes di Atredis Partner, ed è stato trovato come parte di un audit di sicurezza promosso dal Cloud Nativo di Calcolo Fondazione.
“Questa vulnerabilità deriva da un incompleto correzioni per un comunicato in precedenza vulnerabilità (CVE-2019-1002101),” Wei ha detto, che punta a una vulnerabilità primo fix nel Marzo di quest’anno.
“I dettagli per questa vulnerabilità sono molto simili a CVE-2019-1002101. Originale fix per questo problema è stata incompleta e un nuovo exploit metodo è stato scoperto,” Smith ha detto.
Le aziende e gli sviluppatori che eseguono le proprie Kubernetes impianti si consiglia di aggiornare kubectl e Kubernetes per le versioni 1.12.9, 1.13.6, o 1.14.2 o poi.
Eseguire kubectl versione client e se non dice la versione del client 1.12.9, 1.13.6, o 1.14.2 o più recente, si esegue una versione vulnerabile.
Google Cloud k8s anche vulnerabili
In un security advisory pubblicato oggi, Google Cloud amministratori, ha detto che “tutti Google Kubernetes Motore (GKE) gcloud versioni sono interessati da questa vulnerabilità, e si consiglia di eseguire l’aggiornamento all’ultima versione di patch di gcloud quando diventa disponibile.”
Attualmente, questa patch non è ancora uscito.
“Una delle prossime patch versione includerà una mitigazione per questa vulnerabilità,” Google ha detto. Google Cloud, i clienti sono invitati a tenere un occhio fuori per lo strumento del changelog per il kubectl relative correzioni di sicurezza.
Più vulnerabilità di report:
Mozilla patch Firefox zero-day abusato nel wildMozilla correzioni secondo Firefox zero-day sfruttata
Yubico per sostituire vulnerabili YubiKey FIPS sicurezza keysOpenSSH ottiene la protezione contro gli attacchi di tipo Spettro, Crollo, e RambleedGoogle spinge Nido cam aggiornamento per evitare che gli ex proprietari spiare nuovo buyersDisgruntled ditta di sicurezza rivela zero-giorni in Facebook WordPress pluginsKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Cloud
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati