Microsoft, saldırganların küme tarafından kullanılan çeşitli hizmetlere ilişkin kimlik bilgilerine erişmesine olanak tanıyan yönetilen Azure Kubernetes Hizmeti’ndeki (AKS) kritik bir ayrıcalık yükseltme güvenlik açığını giderdi.
Saldırganlar, etkilenen bir AKS kümesinde hassas bilgilere erişmek, verileri çalmak ve diğer kötü amaçlı eylemleri gerçekleştirmek için bu sorunu istismar etmiş olabilir, dedi Mandiant bu haftaki bir raporda. Şirket, güvenlik açığını daha önce keşfetmiş ve Microsoft’a bildirmişti.
Hiçbir Ayrıcalık Gerekmiyor
Güvenlik açığı, Azure CNI ve Azure Network Policy ağ yapılandırma ayarlarını kullanan AKS kümelerini etkiledi. Etkilenen bir AKS kümesinin herhangi bir bölmesinde komut yürütme ayrıcalıklarına sahip bir saldırgan, bir Kubernetes düğümünün ilk kurulumu sırasında kullanılan TLS önyükleme belirteçleri de dahil olmak üzere düğüm için yapılandırma ayrıntılarını indirmek için bu açığı kullanabilirdi, dedi Mandiant. Belirteçler, bir saldırganın bir TLS önyükleme saldırısı gerçekleştirmesine ve meşru bir kubelet sertifikası oluşturmasına izin verirdi, bu da onlara küme içinde yükseltilmiş ayrıcalıklar ve tüm içeriklerine yetkisiz erişim sağlardı.
Önemli bir şekilde, bir saldırgan herhangi bir özel ayrıcalığa ihtiyaç duymadan bu açığı kullanabilirdi, dedi Mandiant. “Bu saldırı, pod’un hostNetwork’ün true olarak ayarlanmasıyla çalışmasını gerektirmiyordu ve pod’un root olarak çalışmasını gerektirmiyordu,” dedi Mandiant araştırmacıları Nick McClendon, Daniel McNamara ve Jacob Paullus bir blog yazısında yazdı Bu hafta.
Belgelenmemiş WireServer Bileşeni
Mandiant, Microsoft düzeltmeden önce bu açığın, AKS pod’unda komut yürütme ayrıcalıklarına sahip bir saldırganın WireServer adlı belgelenmemiş bir Azure bileşenine erişebilmesinden kaynaklandığını tespit etti. Mandiant araştırmacıları, bir saldırı tekniğini izleyerek, CyberCX Mayıs 2023’te yayınlandıWireServer’dan küme için TLS önyükleme belirteçlerini kurtarabilirler. “WireServer ve HostGAPlugin uç noktasına erişim verildiğinde, bir saldırgan, ‘ dahil olmak üzere bir dizi uzantıya sağlanan ayarları alabilir ve şifresini çözebilirÖzel Komut Dosyası UzantısıMandiant araştırmacıları, “sanal makineye ilk yapılandırmasını sağlamak için kullanılan bir hizmet” diye yazdı.
Sorunu, kuruluşların Kubernetes kümelerini dağıttığında olanların bir tezahürü olarak tanımladılar düşünmeden Bir pod içinde kod yürütme haklarına sahip bir saldırganın bu erişimi nasıl kullanabileceği. Saldırganların bir pod’u ele geçirmesinin birden fazla yolu vardır, bunlar arasında bir pod’da çalışan uygulamalardaki güvenlik açıklarından faydalanmak, sürekli entegrasyon süreçleri sırasında veya tehlikeye atılmış bir geliştirici hesabı aracılığıyla kullanmak yer alır.
Aşırı Erişim
Olmadan ayrıntılı ağ politikalarıgüvenli olmayan iş yüklerine karşı kısıtlamalar ve dahili hizmetler için kimlik doğrulama gereksinimleri, bir Kubernetes kümesindeki bir pod’a erişimi olan bir saldırgan, bir Kubernetes kümesindeki diğer pod’lara ve hizmetlere erişebilir. Bu, küme içindeki ve diğer bulut hizmetleriyle ilgili yapılandırma ayrıntılarını, örnek meta verilerini ve kimlik bilgilerini içeren sunucuları içerir.
“Yalnızca gerekli hizmetlere erişime izin veren kısıtlayıcı NetworkPolicies oluşturmak için bir süreç benimsemek, bu saldırı sınıfının tamamını engeller,” dedi Mandiant. “Hizmete hiç erişilemediğinde, belgelenmemiş bir hizmet aracılığıyla ayrıcalık yükseltmesi engellenir.”
Critical Start’ta siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, Microsoft’un sorunu düzeltmiş olmasına rağmen güvenlik ekiplerinin AKS yapılandırmalarını derhal denetlemeleri gerektiğini söyledi. Guenther, e-postayla gönderilen bir yorumda, özellikle ağ yapılandırması için Azure CNI ve ağ politikası için Azure kullanıyorlarsa bunun özellikle doğru olduğunu söyledi. Guenther, “Ayrıca tüm Kubernetes sırlarını döndürmeli, sıkı pod güvenlik politikaları uygulamalı ve şüpheli faaliyetleri tespit etmek için sağlam günlük kaydı ve izleme uygulamalıdırlar” dedi. “Bu güvenlik açığı ciddi olsa da, acil eylem gerektirse de, ikinci aşama bir saldırıdır, yani bir pod’a önceden erişim gerektirir. Bu nedenle, bir kuruluşun tehdit ortamının daha geniş bağlamında buna göre önceliklendirilmelidir.”