Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une faille impactant Google Kubernetes Engine (GKE) qui pourrait \u00eatre potentiellement exploit\u00e9e par des acteurs malveillants disposant d’un compte Google pour prendre le contr\u00f4le d’un cluster Kubernetes.<\/p>\n
La lacune critique a \u00e9t\u00e9 baptis\u00e9e Syst\u00e8me\u00a0:\u00a0Tous<\/strong> par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Orca. On estime que jusqu\u2019\u00e0 250\u00a0000 clusters GKE actifs dans la nature sont sensibles au vecteur d\u2019attaque.<\/p>\n Dans un rapport<\/a> partag\u00e9 avec The Hacker News, le chercheur en s\u00e9curit\u00e9 Ofir Yakobi a d\u00e9clar\u00e9 que cela \u00ab d\u00e9coule d’une id\u00e9e fausse probablement largement r\u00e9pandue selon laquelle le syst\u00e8me:groupe authentifi\u00e9<\/a> dans Google Kubernetes Engine inclut uniquement les identit\u00e9s v\u00e9rifi\u00e9es et d\u00e9terministes, alors qu’en fait, il inclut tout compte authentifi\u00e9 par Google (m\u00eame en dehors de l’organisation).”<\/p>\n Le groupe system:authentifi\u00e9 est un groupe sp\u00e9cial<\/a> qui inclut toutes les entit\u00e9s authentifi\u00e9es, en comptant les utilisateurs humains et les comptes de service. En cons\u00e9quence, cela pourrait avoir de graves cons\u00e9quences si les administrateurs lui conf\u00e8rent par inadvertance des r\u00f4les trop permissifs.<\/p>\n Plus pr\u00e9cis\u00e9ment, un acteur malveillant externe poss\u00e9dant un compte Google pourrait abuser de cette mauvaise configuration en utilisant son propre compte. Jeton de porteur Google OAuth 2.0<\/a> pour prendre le contr\u00f4le du cluster pour une exploitation ult\u00e9rieure telle que le mouvement lat\u00e9ral, le cryptomining, le d\u00e9ni de service et le vol de donn\u00e9es sensibles.<\/p>\n Pour aggraver les choses, cette approche ne laisse aucune trace pouvant \u00eatre li\u00e9e au compte Gmail ou Google Workspace ayant obtenu le jeton du porteur OAuth.<\/p>\n Sys\u00a0:\u00a0Tout a \u00e9t\u00e9 trouv\u00e9 impacter de nombreuses organisations<\/a>entra\u00eenant l’exposition de diverses donn\u00e9es sensibles, telles que les jetons JWT, les cl\u00e9s API GCP, les cl\u00e9s AWS, les informations d’identification Google OAuth, les cl\u00e9s priv\u00e9es et les informations d’identification des registres de conteneurs, ces derni\u00e8res pouvant ensuite \u00eatre utilis\u00e9es pour convertir des images de conteneurs en trojan.<\/p>\n Suite \u00e0 une divulgation responsable \u00e0 Google, la soci\u00e9t\u00e9 a pris des mesures pour bloquer la liaison du groupe system:authentifi\u00e9 au r\u00f4le d’administrateur de cluster dans les versions 1.28 et ult\u00e9rieures de GKE.<\/p>\n “Pour aider \u00e0 s\u00e9curiser vos clusters contre les attaques massives de logiciels malveillants qui exploitent les mauvaises configurations d’acc\u00e8s de l’administrateur du cluster, les clusters GKE ex\u00e9cutant la version 1.28 et ult\u00e9rieure ne vous permettront pas de lier le ClusterRole de l’administrateur du cluster au syst\u00e8me\u00a0: utilisateur anonyme ou au syst\u00e8me\u00a0: non authentifi\u00e9 ou syst\u00e8me:groupes authentifi\u00e9s”, Google maintenant Remarques<\/a> dans sa documentation.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/La-mauvaise-configuration-de-Google-Kubernetes-permet-a-nimporte-quel.jpg\")
<\/a><\/center><\/div>\n