Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Google Cloud resuelve un fallo de escalada de privilegios que afecta al servicio Kubernetes
  • Tecnología

Google Cloud resuelve un fallo de escalada de privilegios que afecta al servicio Kubernetes

teknomers 28 de Aralık de 2023 (Last updated: 28 de Aralık de 2023) 4 minutes read
Google Cloud resuelve un fallo de escalada de privilegios que


28 de diciembre de 2023Sala de redacciónSeguridad en la nube / Protección de datos

Google Cloud ha abordado una falla de seguridad de gravedad media en su plataforma que podría ser abusada por un atacante que ya tiene acceso a un clúster de Kubernetes para escalar sus privilegios.

“Un atacante que ha comprometido la Poco fluido El contenedor de registro podría combinar ese acceso con altos privilegios requeridos por Malla de servicios Anthos (en los clústeres que lo han habilitado) para escalar privilegios en el clúster”, la empresa dicho como parte de un aviso publicado el 14 de diciembre de 2023.

La Unidad 42 de Palo Alto Networks, que descubrió e informó la deficiencia, dijo que los adversarios podrían utilizarla como arma para llevar a cabo “robo de datos, desplegar cápsulas maliciosas e interrumpir las operaciones del clúster”.

PRÓXIMO SEMINARIO WEB

De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total

Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.

Únete ahora

No hay evidencia de que el problema haya sido explotado en la naturaleza. Se ha solucionado en las siguientes versiones de Google Kubernetes Engine (GKE) y Anthos Service Mesh (ASM):

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asamb.8
  • 1.18.6-ensam.2
  • 1.19.5-ensam.4

Un requisito previo clave para explotar con éxito la vulnerabilidad depende de que un atacante ya haya comprometido un contenedor FluentBit mediante otros métodos de acceso inicial, como mediante una falla de ejecución remota de código.

Nube de Google

“GKE utiliza Fluent Bit para procesar registros de cargas de trabajo que se ejecutan en clústeres”, explicó Google. “Fluent Bit en GKE también se configuró para recopilar registros para cargas de trabajo de Cloud Run. El montaje de volumen configurado para recopilar esos registros le dio a Fluent Bit acceso a los tokens de la cuenta de servicio de Kubernetes para otros Pods que se ejecutan en el nodo”.

Esto significaba que un actor de amenazas podría usar este acceso para obtener acceso privilegiado a un clúster de Kubernetes que tenga ASM habilitado y luego usar el token de la cuenta de servicio de ASM para escalar sus privilegios mediante la creación de un nuevo pod con privilegios de administrador del clúster.

La seguridad cibernética

“El controlador de agregación de roles de clúster (CRAC) la cuenta de servicio es probablemente la principal candidata, ya que puede agregar permisos arbitrarios a las funciones del clúster existente”, afirma el investigador de seguridad Shaul Ben Hai. dicho. “El atacante puede actualizar la función del clúster vinculada a CRAC para poseer todos los privilegios”.

A modo de correcciones, Google eliminó el acceso de Fluent Bit a los tokens de la cuenta de servicio y rediseñó la funcionalidad de ASM para eliminar los permisos excesivos de control de acceso basado en roles (RBAC).

“Los proveedores de nube crean automáticamente módulos de sistema cuando se lanza su clúster”, concluyó Ben Hai. “Están integrados en su infraestructura de Kubernetes, al igual que los pods complementarios que se crean cuando habilita una función”.

“Esto se debe a que los proveedores de aplicaciones o de nube generalmente los crean y administran, y el usuario no tiene control sobre su configuración o permisos. Esto también puede ser extremadamente riesgoso ya que estos pods se ejecutan con privilegios elevados”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Esto es lo que debe hacer si entra agua en su sótano
Next: “Ese oro olímpico fueron los dos años más difíciles de mi vida”

Related Stories

Ofertas de verano: la patineta eléctrica iScooter iX4 baja a
  • Tecnología

Ofertas de verano: la patineta eléctrica iScooter iX4 baja a 339,99€ en Teknomers

teknomers 12 de Temmuz de 2026
¿Por qué CyberGhost VPN sigue siendo el primero en nuestra
  • Tecnología

¿Por qué CyberGhost VPN sigue siendo el primero en nuestra comparativa? 🥇

teknomers 12 de Temmuz de 2026
PowerRename: renombrar archivos con Microsoft PowerToys
  • Tecnología

PowerRename: renombrar archivos con Microsoft PowerToys

teknomers 12 de Temmuz de 2026

You May Have Missed

  • Deporte

«On a bien les boules»: decepción, pérdida de ingresos, fiesta a pesar de todo… Recorrimos los 30 km cancelados de la 9.ª etapa del Tour

teknomers 12 de Temmuz de 2026
  • Cultura

«¿Están bien enganchados sus corazones de alcachofa?» : la pop dulce de MPL encanta en las Francofolies

teknomers 12 de Temmuz de 2026
Ofertas de verano: la patineta eléctrica iScooter iX4 baja a
  • Tecnología

Ofertas de verano: la patineta eléctrica iScooter iX4 baja a 339,99€ en Teknomers

teknomers 12 de Temmuz de 2026
La Loire muy seca: lo que muestran las impresionantes imágenes
  • Entretenimiento

La Loire muy seca: lo que muestran las impresionantes imágenes aéreas

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.