{"id":1150602,"date":"2024-01-24T16:17:29","date_gmt":"2024-01-24T16:17:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-configuracion-incorrecta-de-google-kubernetes-permite-que-cualquier-cuenta-de-gmail-controle-sus-clusteres\/"},"modified":"2024-01-24T16:17:35","modified_gmt":"2024-01-24T16:17:35","slug":"la-configuracion-incorrecta-de-google-kubernetes-permite-que-cualquier-cuenta-de-gmail-controle-sus-clusteres","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-configuracion-incorrecta-de-google-kubernetes-permite-que-cualquier-cuenta-de-gmail-controle-sus-clusteres\/","title":{"rendered":"La configuraci\u00f3n incorrecta de Google Kubernetes permite que cualquier cuenta de Gmail controle sus cl\u00fasteres"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de enero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Kubernetes<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/La-configuracion-incorrecta-de-Google-Kubernetes-permite-que-cualquier-cuenta.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una laguna que afecta a Google Kubernetes Engine (GKE) y que podr\u00eda ser potencialmente explotada por actores de amenazas con una cuenta de Google para tomar el control de un cl\u00faster de Kubernetes.<\/p>\n<p>La deficiencia cr\u00edtica ha recibido el nombre en clave <strong>Sistema:Todos<\/strong> por la empresa de seguridad en la nube Orca.  Se estima que hasta 250.000 cl\u00fasteres de GKE activos en estado salvaje son susceptibles al vector de ataque.<\/p>\n<p>en un <a rel=\"nofollow noopener\" href=\"https:\/\/orca.security\/resources\/blog\/sys-all-google-kubernetes-engine-risk-example\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News, el investigador de seguridad Ofir Yakobi dijo que &#8220;surge de una idea err\u00f3nea probablemente generalizada de que el <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/kubernetes-engine\/docs\/how-to\/role-based-access-control\" target=\"_blank\">sistema: grupo autenticado<\/a> en Google Kubernetes Engine incluye solo identidades verificadas y deterministas, mientras que, de hecho, incluye cualquier cuenta autenticada de Google (incluso fuera de la organizaci\u00f3n)&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705323196_227_Balada-Injector-infecta-mas-de-7100-sitios-de-WordPress-utilizando.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El sistema: grupo autenticado es un <a rel=\"nofollow noopener\" href=\"https:\/\/kubernetes.io\/docs\/reference\/access-authn-authz\/rbac\/#discovery-roles\" target=\"_blank\">grupo especial<\/a> eso incluye todas las entidades autenticadas, contando usuarios humanos y cuentas de servicio.  Como resultado, esto podr\u00eda tener graves consecuencias cuando los administradores, sin darse cuenta, le asignan roles demasiado permisivos.<\/p>\n<p>Espec\u00edficamente, un actor de amenazas externo en posesi\u00f3n de una cuenta de Google podr\u00eda hacer un mal uso de esta configuraci\u00f3n err\u00f3nea utilizando su propia cuenta. <a rel=\"nofollow noopener\" href=\"https:\/\/developers.google.com\/identity\/protocols\/oauth2\/service-account\" target=\"_blank\">Token de portador de Google OAuth 2.0<\/a> para tomar el control del cl\u00faster para su posterior explotaci\u00f3n, como movimiento lateral, criptominer\u00eda, denegaci\u00f3n de servicio y robo de datos confidenciales.<\/p>\n<p>Para empeorar las cosas, este enfoque no deja un rastro que pueda vincularse a la cuenta real de Gmail o Google Workspace que obtuvo el token de portador de OAuth.<\/p>\n<p>Sistema: Se ha encontrado que todo <a rel=\"nofollow noopener\" href=\"https:\/\/orca.security\/resources\/blog\/sys-all-google-kubernetes-engine-risk-example\/\" target=\"_blank\">impactar a numerosas organizaciones<\/a>lo que lleva a la exposici\u00f3n de diversos datos confidenciales, como tokens JWT, claves API de GCP, claves AWS, credenciales de Google OAuth, claves privadas y credenciales de registros de contenedores, las \u00faltimas de las cuales podr\u00edan usarse para troyanizar im\u00e1genes de contenedores.<\/p>\n<p>Luego de una divulgaci\u00f3n responsable a Google, la compa\u00f1\u00eda tom\u00f3 medidas para bloquear la vinculaci\u00f3n del sistema: grupo autenticado a la funci\u00f3n de administrador del cl\u00faster en las versiones 1.28 y posteriores de GKE.<\/p>\n<p>&#8220;Para ayudar a proteger sus cl\u00fasteres contra ataques masivos de malware que explotan las configuraciones err\u00f3neas del acceso del administrador del cl\u00faster, los cl\u00fasteres de GKE que ejecutan la versi\u00f3n 1.28 y posteriores no le permitir\u00e1n vincular el ClusterRole del administrador del cl\u00faster al sistema: usuario an\u00f3nimo o al sistema: no autenticado o sistema: grupos autenticados&#8221;, Google ahora <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/kubernetes-engine\/docs\/best-practices\/rbac#detect-prevent-default\" target=\"_blank\">notas<\/a> en su documentaci\u00f3n.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Google tambi\u00e9n recomienda a los usuarios que no vinculen el sistema: grupo autenticado a ning\u00fan rol RBAC, as\u00ed como que eval\u00faen si los cl\u00fasteres se han vinculado al grupo utilizando ClusterRoleBindings y RoleBindings y eliminen los enlaces inseguros.<\/p>\n<p>Orca tambi\u00e9n advirti\u00f3 que si bien no hay registros p\u00fablicos de un ataque a gran escala utilizando este m\u00e9todo, podr\u00eda ser s\u00f3lo una cuesti\u00f3n de tiempo, lo que requerir\u00eda que los usuarios tomen las medidas adecuadas para proteger los controles de acceso a sus cl\u00fasteres.<\/p>\n<p>&#8220;Aunque esto es una mejora, es importante tener en cuenta que todav\u00eda quedan muchos otros roles y permisos que se pueden asignar al grupo&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/google-kubernetes-misconfig-lets-any.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de enero de 2024\ue804Sala de redacci\u00f3nSeguridad en la nube \/ Kubernetes Los investigadores de ciberseguridad han descubierto<\/p>\n","protected":false},"author":1,"featured_media":1150603,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,138695,4664,43308,47500,3748,2351,4662,94967,8666,35774,29160,4668,201033,4654,201031,4659,4653,4655,779,4666,4665,201032,251,4660],"class_list":["post-1150602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-clusteres","tag-como-hackear","tag-configuracion","tag-controle","tag-cualquier","tag-cuenta","tag-filtracion-de-datos","tag-gmail","tag-google","tag-incorrecta","tag-kubernetes","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permite","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-sus","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1150602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1150602"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1150602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1150603"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1150602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1150602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1150602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}