當前位置:
首頁 > 科技 > Kubernetes驚現首個重大安全漏洞 可隨意提升root許可權

Kubernetes驚現首個重大安全漏洞 可隨意提升root許可權

科技 12-04

Kubernetes已成為目前為止最受歡迎的雲容器編排系統,因此重大安全漏洞的出現只是個時間問題。編號為CVE-2018-1002105的Kubernetes特權升級漏洞就是個CVSS 9.8關鍵安全漏洞。

至頂網安全頻道 12月04日 編譯:Kubernetes(https://kubernetes.io/)已成為目前為止最受歡迎的雲容器編排系統,因此重大安全漏洞的出現只是個時間問題。編號為CVE-2018-1002105(https://github.com/kubernetes/kubernetes/issues/71411)的Kubernetes特權升級漏洞就是個CVSS 9.8關鍵安全漏洞。

Kubernetes驚現首個重大安全漏洞 可隨意提升root許可權

該漏洞使得任何用戶都可以通過特製的網路請求建立Kubernetes應用程序編程介面(API)伺服器與後端伺服器之間的連接。攻擊者一旦建立連接,就可以通過網路連接直接向後端發送任意請求。而且更槽糕的是,所發送的請求同時自動通過了Kubernetes API伺服器的傳輸層安全性(TLS)憑證身份驗證。

可成為超級用戶root?

還有更糟糕的,「在默認配置中,所有的用戶(經過身份驗證和未經身份驗證的用戶)均可以調用發現API進行許可權升級。」因此,任何知道這個漏洞的人都可以掌控你的Kubernetes集群。」

還有最痛苦的事情,「目前尚無簡單的方法可以檢測容器的漏洞是否被有心人用過。由於未經授權的請求是通過已建立的連接進行的,因此這些請求不會出現在Kubernetes API伺服器審核日誌或伺服器日誌里。這些請求確會出現在kubelet或聚合API伺服器日誌里,但卻無法區分正確授權請求和經Kubernetes API伺服器代理的請求。「

Red Hat](https://www.redhat.com/en)的另一種說法如下,「該許可權升級漏洞令使用任何計算節點的用戶可以在Kubernetes pod上獲得絕對管理員許可權。 是個很大的問題。(https://www.redhat.com/en/blog/kubernetes-privilege-escalation-flaw- innovation-still-needs-it-security-expertise)有心人不僅可以竊取敏感信息數據或注入惡意代碼,他們還可以從組織的防火牆內關掉生產應用程序和服務。「

幸運的是倒是有個修復辦法,但有些人不會喜歡這個修復辦法。辦法就是升級Kubernetes。更具體地說,升級到補丁版Kubernetes v1.10.11(https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.10.md/#v11011)、v1.11.5(https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.11.md/#v1115)、v1.12.3(https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.12.md/ #v1123)及v1.13.0-rc.1(https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.13.md/#v1130-rc1)。

如果讀者仍在使用Kubernetes v1.0.x-1.9.x,請即刻停用。立即更新到上面的補丁版本。如果由於某種原因不能升級,也有救治方法,但這些救治方法幾乎比病源更糟糕。方法就是必須暫停使用聚合API伺服器,並刪除那些不應該擁有kubelet API完全訪問許可權用戶的pod exec/attach/portforward許可權。修復該漏洞的谷歌軟體工程師Jordan Liggitt表示,這些緩解措施可能會導致系統的中斷。讀者覺得會嗎?

唯一解決方法:升級Kubernetes

任何含Kubernetes的程序都可以受到該漏洞的攻擊。Kubernetes分銷商已經發布了修復程序。

Red Hat發布的報告稱旗下所有「基於Kubernetes的服務和產品(包括Red Hat OpenShift容器平台、Red Hat OpenShift Online和Red Hat OpenShift Dedicated)都受到影響」 。Red Hat已開始向受影響的用戶提供補丁和服務更新。

到目前為止還未發現有人使用該安全漏洞攻擊過別人。Rancher Labs(https://rancher.com/)的首席架構師兼聯合創始人Darren Shepard發現了該漏洞並利用Kubernetes漏洞報告流程報告了該漏洞(https://kubernetes.io/docs/reference/issues-security/security/#report-a-vulnerability)。

但即便有人用過該漏洞也不會在日誌里留下明顯的痕迹。而且,現在有關Kubernetes特權升級漏洞的被公開,那麼漏洞被有心人濫用只是個時間問題。

因此,筆者再次真心呼籲各位,務必在公司陷入困境之前升級Kubernetes系統。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 至頂網 的精彩文章:

VMware的雄心與野心:雲時代無處不在的數字化基礎
Rackspace帝普管理服務讓企業私有雲更具靈活性

TAG:至頂網 |