Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Google Cloud resuelve un fallo de escalada de privilegios que afecta al servicio Kubernetes
  • Tecnología

Google Cloud resuelve un fallo de escalada de privilegios que afecta al servicio Kubernetes

teknomers 28 de Aralık de 2023 (Last updated: 28 de Aralık de 2023) 4 minutes read
Google Cloud resuelve un fallo de escalada de privilegios que


28 de diciembre de 2023Sala de redacciónSeguridad en la nube / Protección de datos

Google Cloud ha abordado una falla de seguridad de gravedad media en su plataforma que podría ser abusada por un atacante que ya tiene acceso a un clúster de Kubernetes para escalar sus privilegios.

“Un atacante que ha comprometido la Poco fluido El contenedor de registro podría combinar ese acceso con altos privilegios requeridos por Malla de servicios Anthos (en los clústeres que lo han habilitado) para escalar privilegios en el clúster”, la empresa dicho como parte de un aviso publicado el 14 de diciembre de 2023.

La Unidad 42 de Palo Alto Networks, que descubrió e informó la deficiencia, dijo que los adversarios podrían utilizarla como arma para llevar a cabo “robo de datos, desplegar cápsulas maliciosas e interrumpir las operaciones del clúster”.

PRÓXIMO SEMINARIO WEB

De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total

Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.

Únete ahora

No hay evidencia de que el problema haya sido explotado en la naturaleza. Se ha solucionado en las siguientes versiones de Google Kubernetes Engine (GKE) y Anthos Service Mesh (ASM):

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asamb.8
  • 1.18.6-ensam.2
  • 1.19.5-ensam.4

Un requisito previo clave para explotar con éxito la vulnerabilidad depende de que un atacante ya haya comprometido un contenedor FluentBit mediante otros métodos de acceso inicial, como mediante una falla de ejecución remota de código.

Nube de Google

“GKE utiliza Fluent Bit para procesar registros de cargas de trabajo que se ejecutan en clústeres”, explicó Google. “Fluent Bit en GKE también se configuró para recopilar registros para cargas de trabajo de Cloud Run. El montaje de volumen configurado para recopilar esos registros le dio a Fluent Bit acceso a los tokens de la cuenta de servicio de Kubernetes para otros Pods que se ejecutan en el nodo”.

Esto significaba que un actor de amenazas podría usar este acceso para obtener acceso privilegiado a un clúster de Kubernetes que tenga ASM habilitado y luego usar el token de la cuenta de servicio de ASM para escalar sus privilegios mediante la creación de un nuevo pod con privilegios de administrador del clúster.

La seguridad cibernética

“El controlador de agregación de roles de clúster (CRAC) la cuenta de servicio es probablemente la principal candidata, ya que puede agregar permisos arbitrarios a las funciones del clúster existente”, afirma el investigador de seguridad Shaul Ben Hai. dicho. “El atacante puede actualizar la función del clúster vinculada a CRAC para poseer todos los privilegios”.

A modo de correcciones, Google eliminó el acceso de Fluent Bit a los tokens de la cuenta de servicio y rediseñó la funcionalidad de ASM para eliminar los permisos excesivos de control de acceso basado en roles (RBAC).

“Los proveedores de nube crean automáticamente módulos de sistema cuando se lanza su clúster”, concluyó Ben Hai. “Están integrados en su infraestructura de Kubernetes, al igual que los pods complementarios que se crean cuando habilita una función”.

“Esto se debe a que los proveedores de aplicaciones o de nube generalmente los crean y administran, y el usuario no tiene control sobre su configuración o permisos. Esto también puede ser extremadamente riesgoso ya que estos pods se ejecutan con privilegios elevados”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Esto es lo que debe hacer si entra agua en su sótano
Next: “Ese oro olímpico fueron los dos años más difíciles de mi vida”

Related Stories

PowerRename: renombrar archivos con Microsoft PowerToys
  • Tecnología

PowerRename: renombrar archivos con Microsoft PowerToys

teknomers 12 de Temmuz de 2026
¿Podrán los satélites controlar pronto la velocidad de los coches?
  • Tecnología

¿Podrán los satélites controlar pronto la velocidad de los coches?

teknomers 12 de Temmuz de 2026
Meta crea una herramienta para detectar imágenes generadas por IA...
  • Tecnología

Meta crea una herramienta para detectar imágenes generadas por IA… pero no siempre reconoce las suyas.

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

Guerra en Oriente Medio: Un muerto y dos heridos en ataques al sur de Irán

teknomers 12 de Temmuz de 2026
  • Deporte

SFC de Toda Irlanda: Los goles son decisivos en la victoria de Kerry sobre Dublín

teknomers 12 de Temmuz de 2026
  • General

« Alto riesgo de problemas de salud mental »: ¿hacia una prohibición de las redes sociales para los adolescentes europeos?

teknomers 12 de Temmuz de 2026
  • General

Geólogos chinos cuestionan la seguridad del Mega-DiQue de Brahmaputra en Tíbet, construido sobre una falla sísmica activa

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.