Търсене
Close this search box.

Уязвимостта за повишаване на привилегиите в Microsoft Azure Kubernetes Services може да позволи на атакуващите да получат достъп до чувствителна информация, като например пълномощни за услуги, използвани от клъстера, съобщава Mandiant.

Въздействайки върху клъстери Azure Kubernetes Services, настроени да използват Azure CNI за мрежова конфигурация и Azure за мрежова политика, проблемът би могъл да позволи на атакуващия да получи достъп до всяка тайна в клъстера.

„Нападател с изпълнение на команди в Pod, работещ в рамките на засегнат клъстер Azure Kubernetes Services, може да изтегли конфигурацията, използвана за осигуряване на клъстерния възел, да извлече токените за зареждане на транспортния слой за сигурност (TLS) и да извърши атака с TLS за зареждане, за да прочете всички тайни в клъстера“, обяснява Mandiant.

Недостатъкът, който може да бъде използван, дори ако модулът не е стартиран с активирана hostNetwork и няма root привилегии, беше отстранен от Microsoft след като беше уведомен чрез програмата си за разкриване на уязвимости.

Клъстерите Kubernetes, разгърнати без подходящи конфигурации, като например NetworkPolicies, могат да позволят на атакуващите да изпълняват код, да получават достъп до ресурси, достъпни за други, и да компрометират клъстерите или дори локалната мрежа, отбелязва Mandiant.

Вътрешните облачни услуги за работните възли също биха могли да бъдат изложени на риск, включително сървърът за метаданни, който „предоставя конфигурацията на машината и често идентификационните данни, използвани за идентифициране на машината пред доставчика на облачни услуги“.

Достъпен на адрес http://169.254.169.254 при доставчиците на облачни услуги, сървърът за метаданни може да се използва за създаване на доверие във възлите на Kubernetes чрез предоставяне на статичен токен на осигурените виртуални машини, доказващ, че виртуалните машини трябва да бъдат част от клъстера и да им бъде издаден TLS сертификат на kubelet, подписан от CA на контролната равнина.

Услугите за метаданни обаче са достъпни по мрежата и мрежов нападател може да се възползва от уязвимости, като например грешки, свързани с подправяне на заявки от страна на сървъра (SSRF), за да разкрие токените.

„Притежавайки тези bootstrap токени, атакуващият може да създаде kubelet сертификат за собствената си машина и да използва тези данни, за да атакува контролната равнина, да открадне тайни и да се намеси в работните натоварвания, планирани на неговия злонамерен „възел““, обяснява Mandiant.

В Azure недокументираният компонент, наречен WireServer, може да бъде използван от атакуващите, за да поискат ключа, използван за криптиране на защитените стойности на настройките, който се записва в wireserver.key, който може да се използва за декриптиране на криптирания blob на настройките, върнат от недокументирания HostGAPlugin, за да се получи скриптът, използван за осигуряване на машината.

Скриптът включва резултата от шаблона на скрипта за осигуряване на възли на услугата Azure Kubernetes, който съдържа различни тайни като променливи на средата, включително общия TLS ключ и сертификат на възела, сертификата на Kubernetes CA и маркера за удостоверяване на TLS bootstrap, който може да се използва за повишаване на привилегиите.

Тайните могат да се използват за удостоверяване на автентичността на клъстера, макар и с минимални привилегии. TLS bootstrap authentication token може да се използва при TLS bootstrap атака за четене и създаване на ClientSigningRequests (CSR).

TLS bootstrap токенът може да се използва за подаване на CSR към Kubernetes API, а Azure Kubernetes Services автоматично ще подпише CSR и ще генерира сертификат за удостоверяване, който след това може да бъде валидиран и използван за достъп до тайните.

„Node Authorizer“ предоставя разрешения въз основа на работните натоварвания, планирани във възела, което включва възможността да се четат всички тайни за работно натоварване, изпълнявано във възела. Този процес може да се повтори във всички активни възли, за да се получи достъп до всички тайни, използвани от работещите натоварвания“, отбелязва Mandiant.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!