现在,侵入Kubernetes这个流行的云容器编排系统有了一种无形的方式。
迄今为止,Kubernetes已经成为了最流行的云容器编排系统,因此发现其第一个重大的安全漏洞只是时间问题。这个编号为CVE-2018-1002105的漏洞(又名Kubernetes特权升级缺陷)是很棘手的,因为它是一个重大的CVSS 9.8安全漏洞。
通过精心制作的网络请求,任何用户都可以通过Kubernetes应用程序编程接口(API)服务器与后端服务器建立连接。一旦连接建立完成,攻击者就可以通过网络连接向那个后端直接发送任意请求。雪上加霜的是,这些请求可以通过Kubernetes API服务器的安全传输层(Transport Layer Security, TLS)凭据进行身份验证。
更糟糕的是,“在默认配置中,所有用户(经过验证的和未经验证的)都可以执行发现API调用,从而使升级变为可能。”因此,是的,任何知道这一漏洞的人都可以控制你的Kubernetes集群。
最后一点令人感到苦恼的是:“检测不法分子是否使用了该漏洞并没有简单的方法。因为未经授权的请求是通过已建立的连接进行的,所以它们并不会出现在Kubernetes API服务器审核日志或服务器日志中。请求确实会出现在 kubelet或不断累积的API服务器日志中,但是与通过Kubernetes API服务器正确授权和代理的请求无法区别开来。”
换句话说,Red Hat说:“权限升级缺陷使得任何用户都有可能获得在Kubernetes pod中运行的任何计算节点上的完全的管理员权限。这是个大问题,因为这样一来,不法分子不仅可以窃取敏感数据或注入恶意代码,而且他们还可以利用企业的防火墙来关闭生产应用程序和服务。”
幸运的是,有一种修复方式,但是有些人不会喜欢它。你必须升级Kubernetes。现在。具体来说,补丁版本包括Kubernetes v1.10.11、v1.11.5、v1.12.3和v1.13.0-rc.1。
如果你仍在使用Kubernetes 1.0.x-1.9,请立即停止,并将版本升级到补丁版本。如果因为某些原因你不能进行升级,也有其他的修复方式,但它们几乎比漏洞本身更糟糕。你必须暂停使用聚合API服务器,同时移除用户对pod exec/attach/portforward的访问权限,让他们不能完全访问kubelet API。谷歌的软件工程师Jordan Liggitt修复过这一漏洞,他表示,这些修复措施可能会带来破坏性的影响。你认为呢?
唯一真正的解决方法是升级Kubernetes。
包括Kubernetes在内的任何程序都是脆弱的。Kubernetes的发行商已经发布了修复版本。
Red Hat报告称,所有“基于Kubernetes的服务和产品——包括Red Hat OpenShift容器平台、Red Hat OpenShift Online和Red Hat OpenShift Dedicated——都受到了影响。”红帽已开始向受到影响的用户提供补丁和服务更新服务。
目前来看,还没有人利用这个安全漏洞来实施攻击活动。Rancher Labs首席架构师兼联合创始人Darren Shepard发现了这个漏洞,并使用Kubernetes漏洞报告流程报告了它。
但是滥用这一漏洞并不会在日志中留下明显的痕迹。现在,Kubernetes特权升级缺陷的消息已经传出,它被滥用只是时间问题。
所以,再一次地,在你的公司陷入麻烦之前赶快升级你的Kubernetes系统。
