Des chercheurs en cybersécurité ont découvert une faille impactant Google Kubernetes Engine (GKE) qui pourrait être potentiellement exploitée par des acteurs malveillants disposant d’un compte Google pour prendre le contrôle d’un cluster Kubernetes.
La lacune critique a été baptisée Système : Tous par la société de sécurité cloud Orca. On estime que jusqu’à 250 000 clusters GKE actifs dans la nature sont sensibles au vecteur d’attaque.
Dans un rapport partagé avec The Hacker News, le chercheur en sécurité Ofir Yakobi a déclaré que cela « découle d’une idée fausse probablement largement répandue selon laquelle le système:groupe authentifié dans Google Kubernetes Engine inclut uniquement les identités vérifiées et déterministes, alors qu’en fait, il inclut tout compte authentifié par Google (même en dehors de l’organisation). »
Le groupe system:authentifié est un groupe spécial qui inclut toutes les entités authentifiées, en comptant les utilisateurs humains et les comptes de service. En conséquence, cela pourrait avoir de graves conséquences si les administrateurs lui confèrent par inadvertance des rôles trop permissifs.
Plus précisément, un acteur malveillant externe possédant un compte Google pourrait abuser de cette mauvaise configuration en utilisant son propre compte. Jeton de porteur Google OAuth 2.0 pour prendre le contrôle du cluster pour une exploitation ultérieure telle que le mouvement latéral, le cryptomining, le déni de service et le vol de données sensibles.
Pour aggraver les choses, cette approche ne laisse aucune trace pouvant être liée au compte Gmail ou Google Workspace ayant obtenu le jeton du porteur OAuth.
Sys : Tout a été trouvé impacter de nombreuses organisationsentraînant l’exposition de diverses données sensibles, telles que les jetons JWT, les clés API GCP, les clés AWS, les informations d’identification Google OAuth, les clés privées et les informations d’identification des registres de conteneurs, ces dernières pouvant ensuite être utilisées pour convertir des images de conteneurs en trojan.
Suite à une divulgation responsable à Google, la société a pris des mesures pour bloquer la liaison du groupe system:authentifié au rôle d’administrateur de cluster dans les versions 1.28 et ultérieures de GKE.
« Pour aider à sécuriser vos clusters contre les attaques massives de logiciels malveillants qui exploitent les mauvaises configurations d’accès de l’administrateur du cluster, les clusters GKE exécutant la version 1.28 et ultérieure ne vous permettront pas de lier le ClusterRole de l’administrateur du cluster au système : utilisateur anonyme ou au système : non authentifié ou système:groupes authentifiés », Google maintenant Remarques dans sa documentation.
Google recommande également aux utilisateurs de ne pas lier le groupe system:authenticated à des rôles RBAC, d’évaluer si les clusters ont été liés au groupe à l’aide de ClusterRoleBindings et de RoleBindings et de supprimer les liaisons non sécurisées.
Orca a également averti que même s’il n’existe aucune trace publique d’une attaque à grande échelle utilisant cette méthode, cela pourrait n’être qu’une question de temps, nécessitant que les utilisateurs prennent les mesures appropriées pour sécuriser les contrôles d’accès à leur cluster.
« Même s’il s’agit d’une amélioration, il est important de noter que cela laisse encore de nombreux autres rôles et autorisations pouvant être attribués au groupe », a déclaré la société.