משתמשים ב-Kubernetes? חולשה חדשה מאפשרת מעקף בקר Kyverno
הבקר משמש לאימות קבצי תמונה הנמשכים לתוך אשכול Kubernetes | הסיכון: התוקף יכול להשתלט על הפוד של הקורבן ולהשתמש בכל הנכסים והאישורים שלו
עמי רוחקס דומבה
| 25/12/2022
bigstock
פגיעות אבטחה בחומרה גבוהה בבקר Kyverno לקונטיינרים עלולה לאפשר לשחקנים זדוניים לייבא קוד זדוני לסביבות ייצור בענן. בקר Kyverno מציע מנגנון אימות חתימה לקבצים הנועד להבטיח שרק קבצים חתומים ומאומתים ימשכו לאשכול Kubernetes נתון.
אבטחת שרשרת אספקה היא נושא שנדון ביסודיות בקהילת Cloud Native. אין זה מפתיע שפרויקטים כמו Kyverno החלו לשלב אמצעי אבטחה של שרשרת האספקה בהצעות שלהם.
על מנת לאבטח שרשראות אספקה, תיקוף רכיבי תוכנה צריך להתרחש בכל שלב - מהפיתוח ועד לייצור. קבצי תמונות הן וקטור התקפה פוטנציאלי ברור, לכן חיוני שהן יאומתו כדי להבטיח שרק קוד מאומת יפעל באשכול Kubernetes.
אם תוקף מסוגל לשלוט בתוכן קובץ תמונה שנמשך לתוך האשכול, התוקף יכול להשתלט ביעילות על הפוד של הקורבן ולהשתמש בכל הנכסים והאישורים שלו, כולל אסימון חשבון השירות כדי לגשת לשרת ה-API.
מנגנון Kyverno יכול למנוע מתקפות, בהתחשב בכך שקבצים זדוניים יכולות להכיל מטענים מגוונים כמו cryptominers, rootkits, ו-exploit kits המאפשרים בריחה מהקונטיינר ותנועה רוחבית. באמצעות החולשה (CVE-2022-47633) ניתן לשנות מנגנון זה.
"הפגיעות מאפשרת עקיפה מוחלטת של אימות חתימת קבצים. במקרה של אשכול Kubernetes, זה נותן לתוקף מגוון רחב של מטרות. הוא יוכל לטעון סודות ונתונים", הסביר בן הירשברג, CTO ומייסד שותף של ARMO, לאתר Dark Reading.
"זה אומר שהתוקף יכול להחדיר קוד שיכול לגנוב נתונים ואישורים מאשכול Kubernetes של הקורבן. זה גם מאפשר לתוקף להחדיר קוד משלו ולהשתמש במעבד הקורבן לדברים כמו כריית מטבעות קריפטוגרפיים".
הבקר משמש לאימות קבצי תמונה הנמשכים לתוך אשכול Kubernetes | הסיכון: התוקף יכול להשתלט על הפוד של הקורבן ולהשתמש בכל הנכסים והאישורים שלו
bigstock
פגיעות אבטחה בחומרה גבוהה בבקר Kyverno לקונטיינרים עלולה לאפשר לשחקנים זדוניים לייבא קוד זדוני לסביבות ייצור בענן. בקר Kyverno מציע מנגנון אימות חתימה לקבצים הנועד להבטיח שרק קבצים חתומים ומאומתים ימשכו לאשכול Kubernetes נתון.
אבטחת שרשרת אספקה היא נושא שנדון ביסודיות בקהילת Cloud Native. אין זה מפתיע שפרויקטים כמו Kyverno החלו לשלב אמצעי אבטחה של שרשרת האספקה בהצעות שלהם.
על מנת לאבטח שרשראות אספקה, תיקוף רכיבי תוכנה צריך להתרחש בכל שלב - מהפיתוח ועד לייצור. קבצי תמונות הן וקטור התקפה פוטנציאלי ברור, לכן חיוני שהן יאומתו כדי להבטיח שרק קוד מאומת יפעל באשכול Kubernetes.
אם תוקף מסוגל לשלוט בתוכן קובץ תמונה שנמשך לתוך האשכול, התוקף יכול להשתלט ביעילות על הפוד של הקורבן ולהשתמש בכל הנכסים והאישורים שלו, כולל אסימון חשבון השירות כדי לגשת לשרת ה-API.
מנגנון Kyverno יכול למנוע מתקפות, בהתחשב בכך שקבצים זדוניים יכולות להכיל מטענים מגוונים כמו cryptominers, rootkits, ו-exploit kits המאפשרים בריחה מהקונטיינר ותנועה רוחבית. באמצעות החולשה (CVE-2022-47633) ניתן לשנות מנגנון זה.
"הפגיעות מאפשרת עקיפה מוחלטת של אימות חתימת קבצים. במקרה של אשכול Kubernetes, זה נותן לתוקף מגוון רחב של מטרות. הוא יוכל לטעון סודות ונתונים", הסביר בן הירשברג, CTO ומייסד שותף של ARMO, לאתר Dark Reading.
"זה אומר שהתוקף יכול להחדיר קוד שיכול לגנוב נתונים ואישורים מאשכול Kubernetes של הקורבן. זה גם מאפשר לתוקף להחדיר קוד משלו ולהשתמש במעבד הקורבן לדברים כמו כריית מטבעות קריפטוגרפיים".
