חולשה במנוע הקונטיינרים Kubernetes מאפשרת לכל אחד לקבל הרשאות גבוהות
עמי רוחקס דומבה
| 05/12/2018
https://youtu.be/eBJs4mJjEDA
באג תוכנה התגלה בKubernetes, מערכת פופולארית לניהול קונטיינרים בענן. הבאג, CVE-2018-1002105, מספק לתוקף פוטנציאלי אפשרות לקבל הרשאות. הבאג מכונה Kubernetes privilege escalation flaw. הדיווח של zdnet.com.
עם בקשת רשת בעלת מבנה מיוחד, כל משתמש יכול ליצור חיבור דרך שרת ממשק תכנות היישומים של Kubernetes (ה-API) לשרת אחורי. לאחר שהחיבור הוקם, תוקף יכול לשלוח בקשות שרירותיות דרך חיבור הרשת ישירות לאותו שרת. זאת ועוד, בקשות אלה מאומתות עם אישורי ה- Transport Layer Security של ה- API של שרת ה- API של Kubernetes. (כלומר, מקבלות גושפנקא חזקה שהופכות אותן קשות לגילוי).
"בתצורות ברירת המחדל, כל המשתמשים (מאומתים ולא מאומתים) מורשים לבצע קריאות API המאפשרות את קבלת ההרשאות", כותבים בפרסום. "אין דרך פשוטה לזהות אם נעשה שימוש בפגיעות זו, מכיוון שהבקשות הלא מורשות מתבצעות באמצעות חיבור מבוסס, והן אינן מופיעות ביומני הביקורת של שרת ה- API של Kubernetes API או ביומן השרתים. הבקשות מופיעות בkubelet (מנהל החוליות של Kubernetes) או מאוגדות ביומני שרת ה- API, אך לא ניתן להבדיל בין בקשות מורשות ומקוריות באמצעות שרת ה- API של Kubernetes. "
במילים אחרות, אומרים בחברת Red Hat, "פגם ההסלמה של ההרשאות מאפשר לכל משתמש לקבל הרשאות ניהול מלאות בכל צומת חישוב שמופעלת בקוד של Kubernetes. זה עניין גדול, לא רק ששחקן זה יכול לגנוב נתונים רגישים או להזריק קוד זדוני, הוא יכול גם להפיל יישומי ייצור ושירותים מתוך חומת האש של הארגון. "
https://youtu.be/eBJs4mJjEDA
באג תוכנה התגלה בKubernetes, מערכת פופולארית לניהול קונטיינרים בענן. הבאג, CVE-2018-1002105, מספק לתוקף פוטנציאלי אפשרות לקבל הרשאות. הבאג מכונה Kubernetes privilege escalation flaw. הדיווח של zdnet.com.
עם בקשת רשת בעלת מבנה מיוחד, כל משתמש יכול ליצור חיבור דרך שרת ממשק תכנות היישומים של Kubernetes (ה-API) לשרת אחורי. לאחר שהחיבור הוקם, תוקף יכול לשלוח בקשות שרירותיות דרך חיבור הרשת ישירות לאותו שרת. זאת ועוד, בקשות אלה מאומתות עם אישורי ה- Transport Layer Security של ה- API של שרת ה- API של Kubernetes. (כלומר, מקבלות גושפנקא חזקה שהופכות אותן קשות לגילוי).
"בתצורות ברירת המחדל, כל המשתמשים (מאומתים ולא מאומתים) מורשים לבצע קריאות API המאפשרות את קבלת ההרשאות", כותבים בפרסום. "אין דרך פשוטה לזהות אם נעשה שימוש בפגיעות זו, מכיוון שהבקשות הלא מורשות מתבצעות באמצעות חיבור מבוסס, והן אינן מופיעות ביומני הביקורת של שרת ה- API של Kubernetes API או ביומן השרתים. הבקשות מופיעות בkubelet (מנהל החוליות של Kubernetes) או מאוגדות ביומני שרת ה- API, אך לא ניתן להבדיל בין בקשות מורשות ומקוריות באמצעות שרת ה- API של Kubernetes. "
במילים אחרות, אומרים בחברת Red Hat, "פגם ההסלמה של ההרשאות מאפשר לכל משתמש לקבל הרשאות ניהול מלאות בכל צומת חישוב שמופעלת בקוד של Kubernetes. זה עניין גדול, לא רק ששחקן זה יכול לגנוב נתונים רגישים או להזריק קוד זדוני, הוא יכול גם להפיל יישומי ייצור ושירותים מתוך חומת האש של הארגון. "
