Wat is Kubernetes?
Hier is alles wat u moet weten over Kubernetes. Lees meer: https://zd.net/2N9e0EB
De Kubernetes project heeft gepatcht vandaag een gevaarlijk lek dat kan voor slimme hacks waarbij aanvallers kunnen uitvoeren van code op de host computer.
De kwetsbaarheid is niet van invloed op de Kubernetes systeem zelf, maar kubectl (Kube control), de officiële commando-regel gereedschap voor het werken met Kubernetes installaties.
Beveiligingsonderzoekers hebben ontdekt dat er een lek in de kubectl cp (copy) de bewerking die wordt gebruikt om bestanden van de containers aan een gebruiker, host machine.
Hackers kunnen uitvoeren van de code via het “copy” – bediening
“Voor het kopiëren van bestanden uit een container, Kubernetes loopt teer in de container voor het maken van een tar archief zien dat de kopieën over het netwerk, en kubectl pakt het op de machine van de gebruiker,” zei Joel Smith, lid van de Kubernetes Product Security Committee.
“Als de teer binaire in de container is schadelijk, het kan elke willekeurige code worden uitgevoerd en de output onverwachte, schadelijke resultaten. Een aanvaller zou kunnen gebruiken om bestanden te schrijven naar een pad op de computer van de gebruiker wanneer kubectl cp wordt genoemd, slechts beperkt door het systeem van machtigingen van de lokale gebruiker”, zei hij.
Het benutten van dit probleem is niet eenvoudig, als een aanvaller moet de eerste plaats schadelijke bestanden in een Kubernetes container, en dan wachten op een Kubernetes admin om die bestanden aan zijn systeem.
De schadelijke bestanden automatisch worden uitgevoerd; echter, deze aanval is ook afhankelijk van geluk en een beetje social engineering.
Host machine hack kan leiden tot totaal compromis
Toch Wei Lien Dang, Mede-Oprichter en Vice-President van het Product in de StackRox, ziet deze kwetsbaarheid als erg gevaarlijk, ongeacht.
“Deze kwetsbaarheid is over, omdat het zou een aanvaller overschrijven gevoelige paden bestand of bestanden toevoegen die zijn schadelijke programma’ s, die vervolgens kunnen worden gebruikt voor compromis het grote delen van Kubernetes omgevingen,” Wei vertelde ZDNet in een e-mail van vorige week.
“Dit soort exploiteren toont hoe een client-side kwetsbaarheid kan gebruikt worden om mogelijk gevaar opleveren voor productie-omgevingen, vooral omdat we hebben vastgesteld dat de beste praktijken te verminderen tegen dit soort van bedreiging vector zijn niet altijd gevolgd.
“Gebruikers kunnen bijvoorbeeld worden uitgevoerd kubectl op de productie van knooppunten of zonder de juiste role-based access control om de toegang te beperken tot het gehele cluster of met verhoogde lokale systeem van machtigingen,” Wei toegevoegd.
“Daarnaast is de fix, die is om te upgraden naar een recente versie van kubectl, kan het moeilijker worden om te handhaven, omdat het afhankelijk is van individuele gebruikers te doen,” het StackRox exec zei.
Kwetsbaarheid patch nu twee keer
Deze kwetsbaarheid, bijgehouden, zoals CVE-2019-11246, werd ontdekt door Charles Holmes van Atredis Partners, en werd gevonden als onderdeel van een security audit gesponsord door de Cloud Native Computing Foundation.
“Deze kwetsbaarheid komt voort uit een onvolledige oplossingen voor een eerder opgenomen kwetsbaarheid (CVE-2019-1002101),” Wei zei, wijzend op een kwetsbaarheid eerste fix in Maart van dit jaar.
“De details van deze kwetsbaarheid zijn zeer vergelijkbaar met de CVE-2019-1002101. De originele oplossing voor dat probleem was onvolledig, en een nieuwe exploit methode werd ontdekt,” Smith heeft gezegd.
Bedrijven en ontwikkelaars die hun eigen Kubernetes installaties worden aangeraden om te upgraden kubectl en Kubernetes versies 1.12.9, 1.13.6, of 1.14.2 of later.
Voer kubectl versie –client en als het niet zeggen client versie 1.12.9, 1.13.6, of 1.14.2 of nieuwer, loopt u een kwetsbare versie.
Google Cloud k8s ook kwetsbaar
In een security advisory, dat vandaag is gepubliceerd, Google Cloud admins zei dat “alle Google Kubernetes Motor (GKE) gcloud versies worden beïnvloed door deze kwetsbaarheid is, en we raden u aan te upgraden naar de nieuwste patch versie van gcloud wanneer het beschikbaar wordt.”
Momenteel is deze patch is nog niet uit.
“Een aankomende patch versie bevat een oplossing van dit beveiligingslek,” Google gezegd. Google Cloud klanten worden geadviseerd om in de gaten te houden voor de hulpprogramma ‘ s changelog voor de kubectl-gerelateerde security fixes.
Meer kwetsbaarheid rapporten:
Mozilla patches Firefox zero-day misbruikt in de wildMozilla correcties tweede Firefox zero-day in het wild misbruik
Yubico te vervangen kwetsbare YubiKey FIPS veiligheid keysOpenSSH krijgt bescherming tegen aanvallen van Spectre, Meltdown, en RambleedGoogle duwt Nest cam update om te voorkomen dat de voormalige eigenaren bespioneren nieuwe buyersDisgruntled beveiligingsbedrijf onthult zero-dagen in Facebook WordPress pluginsKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Cloud
Beveiliging TV
Data Management
CXO
Datacenters