Жаңалық
Kubernetes осалдығы: командалық инъекциялық шабуылдар кластерлердің қауіпсіздігіне қауіп төндіреді
@CitizenSec , 19-08-2024
Жақында Kubernetes-те табылған осалдық киберқауіпсіздік қауымдастығында үлкен алаңдаушылық туғызды. Akamai компаниясының зерттеушісі Томэр Пелед Kubernetes жобасы git-sync-те қате тапты, ол шабуылдаушыларға командалық енгізу шабуылдарын орындауға мүмкіндік береді.
Бұл осалдық Amazon EKS, Azure AKS және Google GKE сияқты әртүрлі платформаларда стандартты Kubernetes орнатылымдарына әсер етеді. Бұл осалдық DEF CON 2024 конференциясында ұсынылады.
Бұл осалдық Kubernetes контейнерін Git репозиторийімен синхрондау үшін қолданылатын git-sync жобасымен байланысты. Синхрондау процесі автоматты жаңартулар үшін арналса да, кіріс деректерін жеткіліксіз тексеру себебінен шабуыл бетінің кең ашылуына әкеледі.
Шабуылдаушылар бұл осалдықты пайдаланып, кластерге зиянды YAML файлын қолдана алады, бұл төменгі құқықтық операция болып табылады. Бұл оларға еркін командаларды орындауға немесе контейнерден деректерді ұрлауға мүмкіндік береді.
Бұл қауіптен қалай қорғануға болады
Екі маңызды параметр, GITSYNC_GIT және GITSYNC_PASSWORD_FILE, әсіресе осал. GITSYNC_GIT команданы орындауға мүмкіндік береді, оны кодты орындау үшін зиянды орындалатын файлға ауыстыруға болады. GITSYNC_PASSWORD_FILE контейнерден кіру токендері сияқты құпия ақпаратты алу үшін манипуляциялануы мүмкін.
Бұл осалдық командаларды рұқсатсыз орындау және деректерді ұрлау сияқты ауыр салдарға әкелуі мүмкін. Минималды құқықтары бар шабуылдаушылар git-sync-ке жасырылған орындалатын файлды контейнер ішінде орналастыра алады және қауіпсіздік шараларын айналып өтіп, заңды операциялар ретінде командаларды орындай алады.
Сонымен қатар, өңдеу құқықтары бар шабуылдаушылар git-sync-ті құпия файлдарды сыртқы серверге жіберуге бағыттай алады, бұл бүкіл Kubernetes кластерінің қауіпсіздігіне қауіп төндіруі мүмкін.
Осалдықтың ауырлығына қарамастан, оған CVE идентификаторы берілген жоқ және ресми патч әлі шығарылған жоқ. Kubernetes командасы мәселені мойындады, бірақ өңдеу операцияларын жоғары құқықты деп санап, түзетуді дереу шығарудың қажеті жоқ деп санайды. Дегенмен, зерттеу Kubernetes ортасын бақылау мен хабардарлықты арттыру қажеттілігін көрсетеді.
Қауіп-қатерді азайту үшін ұйымдарға Kubernetes контейнерлерінен, әсіресе git-sync қолданатын контейнерлерден шығатын байланыстарды бақылауды күшейту ұсынылады. Git-sync контейнерлерінің тұрақты аудиті олардың күтілетін командаларды орындауын қамтамасыз ету үшін ұсынылады.
Сонымен қатар, Open Policy Agent (OPA) ережелерін енгізу git-sync конфигурацияларындағы рұқсатсыз өзгерістерді анықтау арқылы шабуыл векторларын анықтап, бұғаттауға көмектесуі мүмкін.
Cyclops-ті анықтау Charming Kitten сияқты топтардың тұрақты қауіп-қатерін көрсетеді. Бұл зиянды бағдарламаны әзірлеу және Go тілін пайдалану шабуылдаушылардың біліктілігінің артқанын көрсетеді. Киберқауіпсіздік сарапшылары осы ақпаратты бөлісу арқылы Cyclops-тің таралуын болдырмау және болашақ шабуылдардан ықтимал нысандарды қорғау үшін анықтау және қорғау әдістерін жақсарта аламыз деп үміттенеді.