Уязвимостта за повишаване на привилегиите в Microsoft Azure Kubernetes Services може да позволи на атакуващите да получат достъп до чувствителна информация, като например пълномощни за услуги, използвани от клъстера, съобщава Mandiant.
Въздействайки върху клъстери Azure Kubernetes Services, настроени да използват Azure CNI за мрежова конфигурация и Azure за мрежова политика, проблемът би могъл да позволи на атакуващия да получи достъп до всяка тайна в клъстера.
„Нападател с изпълнение на команди в Pod, работещ в рамките на засегнат клъстер Azure Kubernetes Services, може да изтегли конфигурацията, използвана за осигуряване на клъстерния възел, да извлече токените за зареждане на транспортния слой за сигурност (TLS) и да извърши атака с TLS за зареждане, за да прочете всички тайни в клъстера“, обяснява Mandiant.
Недостатъкът, който може да бъде използван, дори ако модулът не е стартиран с активирана hostNetwork и няма root привилегии, беше отстранен от Microsoft след като беше уведомен чрез програмата си за разкриване на уязвимости.
Клъстерите Kubernetes, разгърнати без подходящи конфигурации, като например NetworkPolicies, могат да позволят на атакуващите да изпълняват код, да получават достъп до ресурси, достъпни за други, и да компрометират клъстерите или дори локалната мрежа, отбелязва Mandiant.
Вътрешните облачни услуги за работните възли също биха могли да бъдат изложени на риск, включително сървърът за метаданни, който „предоставя конфигурацията на машината и често идентификационните данни, използвани за идентифициране на машината пред доставчика на облачни услуги“.
Достъпен на адрес http://169.254.169.254 при доставчиците на облачни услуги, сървърът за метаданни може да се използва за създаване на доверие във възлите на Kubernetes чрез предоставяне на статичен токен на осигурените виртуални машини, доказващ, че виртуалните машини трябва да бъдат част от клъстера и да им бъде издаден TLS сертификат на kubelet, подписан от CA на контролната равнина.
Услугите за метаданни обаче са достъпни по мрежата и мрежов нападател може да се възползва от уязвимости, като например грешки, свързани с подправяне на заявки от страна на сървъра (SSRF), за да разкрие токените.
„Притежавайки тези bootstrap токени, атакуващият може да създаде kubelet сертификат за собствената си машина и да използва тези данни, за да атакува контролната равнина, да открадне тайни и да се намеси в работните натоварвания, планирани на неговия злонамерен „възел““, обяснява Mandiant.
В Azure недокументираният компонент, наречен WireServer, може да бъде използван от атакуващите, за да поискат ключа, използван за криптиране на защитените стойности на настройките, който се записва в wireserver.key, който може да се използва за декриптиране на криптирания blob на настройките, върнат от недокументирания HostGAPlugin, за да се получи скриптът, използван за осигуряване на машината.
Скриптът включва резултата от шаблона на скрипта за осигуряване на възли на услугата Azure Kubernetes, който съдържа различни тайни като променливи на средата, включително общия TLS ключ и сертификат на възела, сертификата на Kubernetes CA и маркера за удостоверяване на TLS bootstrap, който може да се използва за повишаване на привилегиите.
Тайните могат да се използват за удостоверяване на автентичността на клъстера, макар и с минимални привилегии. TLS bootstrap authentication token може да се използва при TLS bootstrap атака за четене и създаване на ClientSigningRequests (CSR).
TLS bootstrap токенът може да се използва за подаване на CSR към Kubernetes API, а Azure Kubernetes Services автоматично ще подпише CSR и ще генерира сертификат за удостоверяване, който след това може да бъде валидиран и използван за достъп до тайните.
„Node Authorizer“ предоставя разрешения въз основа на работните натоварвания, планирани във възела, което включва възможността да се четат всички тайни за работно натоварване, изпълнявано във възела. Този процес може да се повтори във всички активни възли, за да се получи достъп до всички тайни, използвани от работещите натоварвания“, отбелязва Mandiant.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.