Google Cloud a corrigé une faille de sécurité de gravité moyenne dans sa plate-forme qui pourrait être exploitée par un attaquant ayant déjà accès à un cluster Kubernetes pour élever ses privilèges.
« Un attaquant qui a compromis le Peu courant Le conteneur de journalisation pourrait combiner cet accès avec les privilèges élevés requis par Maille de services Anthos (sur les clusters qui l’ont activé) pour élever les privilèges dans le cluster », la société dit dans le cadre d’un avis publié le 14 décembre 2023.
L’unité 42 de Palo Alto Networks, qui a découvert et signalé la faille, a déclaré que les adversaires pourraient l’utiliser comme arme pour commettre « un vol de données, déployer des pods malveillants et perturber les opérations du cluster ».
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
Il n’y a aucune preuve que le problème ait été exploité à l’état sauvage. Ce problème a été résolu dans les versions suivantes de Google Kubernetes Engine (GKE) et d’Anthos Service Mesh (ASM) :
- 1.25.16-gke.1020000
- 1.26.10-gke.1235000
- 1.27.7-gke.1293000
- 1.28.4-gke.1083000
- 1.17.8-asm.8
- 1.18.6-asm.2
- 1.19.5-asm.4
Une condition préalable essentielle pour réussir à exploiter la vulnérabilité dépend du fait qu’un attaquant ait déjà compromis un conteneur FluentBit par d’autres méthodes d’accès initial, par exemple via une faille d’exécution de code à distance.
« GKE utilise Fluent Bit pour traiter les journaux des charges de travail exécutées sur des clusters », a expliqué Google. « Fluent Bit sur GKE a également été configuré pour collecter les journaux des charges de travail Cloud Run. Le montage de volume configuré pour collecter ces journaux a donné à Fluent Bit l’accès aux jetons de compte de service Kubernetes pour d’autres pods exécutés sur le nœud. »
Cela signifiait qu’un acteur malveillant pouvait utiliser cet accès pour obtenir un accès privilégié à un cluster Kubernetes sur lequel ASM est activé, puis utiliser le jeton de compte de service d’ASM pour élever ses privilèges en créant un nouveau pod avec des privilèges d’administrateur de cluster.
« Le contrôleur d’agrégation de rôles de cluster (CRAC) est probablement le principal candidat, car il peut ajouter des autorisations arbitraires aux rôles de cluster existants », a déclaré le chercheur en sécurité Shaul Ben Hai. dit. « L’attaquant peut mettre à jour le rôle de cluster lié au CRAC pour posséder tous les privilèges. »
En guise de correctifs, Google a supprimé l’accès de Fluent Bit aux jetons du compte de service et a réorganisé la fonctionnalité d’ASM pour supprimer les autorisations excessives de contrôle d’accès basé sur les rôles (RBAC).
« Les fournisseurs de cloud créent automatiquement des modules système lorsque votre cluster est lancé », a conclu Ben Hai. « Ils sont intégrés à votre infrastructure Kubernetes, de la même manière que les modules complémentaires créés lorsque vous activez une fonctionnalité. »
« Cela est dû au fait que les fournisseurs de cloud ou d’applications les créent et les gèrent généralement, et que l’utilisateur n’a aucun contrôle sur leur configuration ou leurs autorisations. Cela peut également être extrêmement risqué puisque ces pods fonctionnent avec des privilèges élevés. »