Investigadores de ciberseguridad han revelado una falla de seguridad que afecta a Microsoft Azure Kubernetes Services que, si se explota con \u00e9xito, podr\u00eda permitir a un atacante aumentar sus privilegios y credenciales de acceso para los servicios utilizados por el cl\u00faster.<\/p>\n
“Un atacante con ejecuci\u00f3n de comandos en un Pod que se ejecuta dentro de un cl\u00faster de Azure Kubernetes Services afectado podr\u00eda descargar la configuraci\u00f3n utilizada para aprovisionar el nodo del cl\u00faster, extraer los tokens de arranque de seguridad de la capa de transporte (TLS) y realizar un ataque de arranque TLS para leer todos los secretos dentro del cl\u00faster”, dijo Mandiant, propiedad de Google. dicho<\/a>.<\/p>\n Se ha descubierto que los cl\u00fasteres que utilizan “Azure CNI” para la “Configuraci\u00f3n de red” y “Azure” para la “Pol\u00edtica de red” se ven afectados por el error de escalada de privilegios. Microsoft ha abordado el problema despu\u00e9s de una divulgaci\u00f3n responsable.<\/p>\n La t\u00e9cnica de ataque ideada por la empresa de inteligencia de amenazas se basa en acceder a un componente poco conocido llamado Azure WireServer para solicitar una clave utilizada para cifrar valores de configuraci\u00f3n protegidos (“wireserver.key”) y usarla para decodificar un script de aprovisionamiento que incluye varios secretos como los siguientes:<\/p>\n “KUBELET_CLIENT_CONTENT, KUBELET_CLIENT_CERT_CONTENT y KUBELET_CA_CRT se pueden decodificar en Base64 y escribir en el disco para usar con la herramienta de l\u00ednea de comandos de Kubernetes kubectl para autenticarse en el cl\u00faster”, dijeron los investigadores Nick McClendon, Daniel McNamara y Jacob Paullus.<\/p>\n “Esta cuenta tiene permisos m\u00ednimos de Kubernetes en cl\u00fasteres de Azure Kubernetes Service (AKS) implementados recientemente, pero puede enumerar nodos en el cl\u00faster”.<\/p>\n TLS_BOOTSTRAP_TOKEN, por otro lado, podr\u00eda usarse para habilitar un Ataque de arranque TLS<\/a> y, en \u00faltima instancia, obtener acceso a todos los secretos utilizados por las cargas de trabajo en ejecuci\u00f3n. El ataque no requiere que el pod se ejecute como ra\u00edz.<\/p>\n “Adoptar un proceso para crear pol\u00edticas de red restrictivas que permitan el acceso solo a los servicios requeridos previene toda esta clase de ataque”, afirm\u00f3 Mandiant. “Se evita la escalada de privilegios a trav\u00e9s de un servicio no documentado cuando no se puede acceder a \u00e9l en absoluto”.<\/p>\n La revelaci\u00f3n se produce cuando la plataforma de seguridad de Kubernetes ARMO destac\u00f3 una nueva falla de alta gravedad de Kubernetes (CVE-2024-7646<\/a>Puntuaci\u00f3n CVSS: 8,8) que afecta al controlador ingress-nginx y podr\u00eda permitir que un actor malintencionado obtenga acceso no autorizado a recursos confidenciales del cl\u00faster.<\/p>\n “La vulnerabilidad se debe a una falla en la forma en que ingress-nginx valida las anotaciones en los objetos Ingress”, dijo el investigador de seguridad Amit Schendel. dicho<\/a>.<\/p>\n “La vulnerabilidad permite a un atacante inyectar contenido malicioso en ciertas anotaciones, evadiendo las comprobaciones de validaci\u00f3n previstas. Esto puede provocar la inyecci\u00f3n de comandos arbitrarios y el posible acceso a las credenciales del controlador ingress-nginx, que, en las configuraciones predeterminadas, tiene acceso a todos los secretos del cl\u00faster”.<\/p>\n Tambi\u00e9n se produce tras el descubrimiento de un fallo de dise\u00f1o en Kubernetes. proyecto git-sync<\/a> que podr\u00eda permitir la inyecci\u00f3n de comandos en Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) y Linode.<\/p>\n “Esta falla de dise\u00f1o puede provocar la exfiltraci\u00f3n de datos de cualquier archivo en el pod (incluidos los tokens de la cuenta de servicio) o la ejecuci\u00f3n de comandos con los privilegios de usuario git_sync”, dijo el investigador de Akamai, Tomer Peled. dicho<\/a>“Para explotar la falla, todo lo que un atacante necesita hacer es aplicar un archivo YAML en el cl\u00faster, lo cual es una operaci\u00f3n que requiere pocos privilegios”.<\/p>\n No se est\u00e1n planificando parches para la vulnerabilidad, por lo que es crucial que las organizaciones auditen sus pods git-sync para determinar qu\u00e9 comandos se est\u00e1n ejecutando.<\/p>\n “Ambos vectores se deben a una falta de limpieza de la entrada, lo que resalta la necesidad de una defensa s\u00f3lida en lo que respecta a la limpieza de la entrada del usuario”, dijo Peled. “Los miembros del equipo azul deben estar atentos a comportamientos inusuales provenientes del usuario gitsync en sus organizaciones”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Investigadores-descubren-un-ataque-de-arranque-TLS-en-clusteres-de.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/section>\n