Уязвимость Kubernetes: атаки командной инъекции угрожают безопасности ваших кластеров

Недавно обнаруженная уязвимость в Kubernetes вызвала серьезные опасения в сообществе кибербезопасности. Исследователь компании Akamai, Томэр Пелед, нашел ошибку в проекте Kubernetes под названием git-sync, которая позволяет злоумышленникам выполнять атаки с внедрением команд.

Эта уязвимость затрагивает стандартные установки Kubernetes на различных платформах, таких как Amazon EKS, Azure AKS и Google GKE. Она будет представлена на конференции DEF CON 2024.

Уязвимость связана с проектом git-sync, который используется для синхронизации контейнера Kubernetes с репозиторием Git. Этот процесс синхронизации, предназначенный для автоматического обновления, непреднамеренно открывает широкую поверхность для атак из-за недостаточной проверки входных данных.

Злоумышленники могут воспользоваться этой уязвимостью, применив вредоносный YAML файл к кластеру, что является низкопривилегированной операцией. Это позволяет им выполнять произвольные команды или похищать данные из контейнера.

Как защититься от данной угрозы

Два критических параметра, GITSYNC_GIT и GITSYNC_PASSWORD_FILE, особенно уязвимы. GITSYNC_GIT позволяет указать команду для выполнения, которую можно заменить на вредоносный исполняемый файл для выполнения кода. GITSYNC_PASSWORD_FILE можно манипулировать для извлечения конфиденциальной информации, такой как токены доступа, из контейнера.

Эта уязвимость может привести к серьезным последствиям, таким как несанкционированное выполнение команд и кража данных. Злоумышленники с минимальными привилегиями могут развернуть исполняемый файл внутри контейнера, замаскированный под git-sync, и выполнять команды под видом легитимных операций, обходя при этом меры безопасности.

Кроме того, злоумышленники с правами редактирования могут перенаправить git-sync на отправку конфиденциальных файлов на внешний сервер, что может поставить под угрозу весь кластер Kubernetes.

Несмотря на серьезность уязвимости, она не получила идентификатора CVE, и официального патча пока не выпущено. Команда Kubernetes признала проблему, но считает операции редактирования высокопривилегированными, поэтому не считает необходимым немедленно выпускать исправление. Тем не менее, исследование подчеркивает необходимость повышения осведомленности и мониторинга окружения Kubernetes.

Чтобы снизить риски, организациям рекомендуется усиливать мониторинг исходящих коммуникаций из контейнеров Kubernetes, особенно тех, которые используют git-sync. Рекомендуется регулярный аудит контейнеров git-sync, чтобы убедиться, что они выполняют ожидаемые команды.

Также, внедрение правил Open Policy Agent (OPA) может помочь выявлять и блокировать потенциальные векторы атак, обнаруживая несанкционированные изменения в конфигурациях git-sync.

Обнаружение Cyclops подчеркивает постоянную угрозу со стороны таких групп, как Charming Kitten. Разработка этой вредоносной программы и использование языка Go свидетельствуют о повышении квалификации злоумышленников. Эксперты по кибербезопасности надеются, что, поделившись этой информацией, они смогут улучшить методы обнаружения и защиты, чтобы предотвратить распространение Cyclops и защитить потенциальные цели от будущих атак.