Hvad er Kubernetes?
Her er alt, hvad du behøver at vide om Kubernetes. Læs mere: https://zd.net/2N9e0EB
Den Kubernetes projektet har lappet i dag et farligt sikkerhedshul, der kan gøre det muligt for klog hacks, hvor angribere kan køre kode på host maskinen.
Sårbarheden påvirker ikke den Kubernetes system i sig selv, men kubectl (Kube kontrol), den officielle kommando-linje værktøj til at arbejde med Kubernetes anlæg.
Sikkerhed forskere har opdaget en sikkerhedsfejl i den kubectl cp (kopi) operation, der bruges til at overføre filer fra beholdere til en bruger, der er vært for maskinen.
Hackere kan afvikle kode via “kopi” operation
“For at kopiere filer fra en beholder, Kubernetes kører tar inde i containeren til at skabe et tar-arkiv, kopier det over nettet, og kubectl udpakker det på brugerens maskine,” sagde Joel Smith, som er medlem af Kubernetes Produkt sikkerhedsudvalget.
“Hvis det tar binære i beholderen er skadelig, det kunne køre kode og output uventet, skadelige resultater. En hacker kan bruge dette til at skrive filer til en sti på brugerens maskine, når kubectl cp er kaldet, kun begrænset af systemet tilladelser af den lokale bruger,” sagde han.
At udnytte denne fejl ikke er enkel, som en hacker først sted ondsindede filer inde i en Kubernetes beholderen, og vent derefter, til en Kubernetes admin til at overføre disse filer til hans system.
De ondsindede filer vil udføre automatisk, men dette angreb er også baseret på held og en lille smule social engineering.
Værtsmaskinen hack kan føre til total kompromis
Ikke desto mindre, Wei Pant Dang, medstifter af og vicepræsident for Produktet på StackRox, ser denne sårbarhed, som meget farligt, uanset.
“Denne sårbarhed er bekymrende, fordi det ville gøre det muligt for en hacker at overskrive følsomme fil, stier eller tilføje filer, der er skadelige programmer, som derefter kunne være gearede til at gå på kompromis betydelige dele af Kubernetes miljøer,” Wei fortalte ZDNet i en mail i sidste uge.
“Denne type udnytte viser, hvordan en klient-side sårbarhed kunne bruges til at kompromittere produktion miljøer, især da vi har observeret, at bedste praksis for at afbøde mod denne type trussel vektor er ikke altid fulgt.
“For eksempel, så brugerne kan køre kubectl på produktion af noder eller uden passende rolle-baseret adgangskontrol for at begrænse adgang til hele klyngen eller med forhøjet lokale system tilladelser,” Wei tilføjet.
“Hertil kommer, at den lave, som er til at opgradere til nyere versioner af kubectl, kan være sværere at håndhæve, da det er afhængig af individuelle brugere gør så, at” StackRox exec sagde.
Sårbarhed lappet to gange nu
Denne sårbarhed, kan spores som CVE-2019-11246, blev opdaget af Charles Holmes af Atredis Partnere, og blev fundet som en del af en sikkerhed revision sponsoreret af Cloud Oprindelige Design og Fundament.
“Denne sårbarhed stammer fra ufuldstændig rettelser til en tidligere offentliggjort sårbarhed (CVE-2019-1002101),” Wei sagde, peger på en svaghed, for det første fix i Marts dette år.
“Detaljerne for denne sårbarhed er meget lig CVE-2019-1002101. Den oprindelige fix for, at spørgsmålet var ufuldstændig, og en ny udnytte metoden blev opdaget,” Smith sagde.
Virksomheder og udviklere, der kører deres egne Kubernetes anlæg rådes til at opgradere kubectl og Kubernetes til versioner 1.12.9, 1.13.6, eller 1.14.2 eller senere.
Køre kubectl version –kunden, og hvis det ikke siger klient version 1.12.9, 1.13.6, eller 1.14.2 eller nyere, du kører med den sårbare version.
Google Cloud k8s også sårbare
I en sikkerhedsmeddelelse, der offentliggøres i dag, Google Cloud admins sagde, at “alle Google Kubernetes Motor (GKE) gcloud versioner er påvirket af denne sårbarhed, og vi anbefaler at du opgraderer til den nyeste patch version af gcloud, når det bliver tilgængeligt.”
I øjeblikket er denne patch er ikke ude endnu.
“En kommende patch version vil omfatte en lempelse for denne svaghed,” sagde Google. Google Cloud kunderne rådes til at holde øje med af ‘ s changelog for den kubectl-relaterede sikkerhedsrettelser.
Mere sårbarhed rapporter:
Mozilla patches Firefox zero-day misbrugt i wildMozilla rettelser andet Firefox nul-dag udnyttes i naturen
Yubico til at erstatte sårbare YubiKey FIPS sikkerhed keysOpenSSH får beskyttelse mod angreb som Spøgelse, Nedsmeltning, og RambleedGoogle skubber Reden cam opdatering for at forhindre, at tidligere ejere spionage på nye buyersDisgruntled vagtselskab oplyser nul-dage i Facebook ‘ s WordPress pluginsKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Cloud
Sikkerhed-TV
Data Management
CXO
Datacentre