Google Cloud已解决其平台中的一个严重性安全漏洞,攻击者可以利用该漏洞来升级他们已经访问的Kubernetes集群的特权。
公司在2023年12月14日发布的一份公告中表示:“一个已经入侵了Fluent Bit日志容器的攻击者可以将该访问与Anthos Service Mesh(在启用了此功能的集群上)所需的高特权结合起来,以提升集群中的特权。”
发现并报告了这个缺陷的Palo Alto Networks Unit 42表示,攻击者可以利用它来进行“数据窃取,部署恶意Pod和干扰集群运行”。
目前没有证据表明该问题在野外被利用。以下是Google Kubernetes Engine(GKE)和Anthos Service Mesh(ASM)中已解决该问题的版本-
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
成功利用此漏洞的关键先决条件是攻击者已经通过其他初始访问方法入侵了FluentBit容器,例如通过远程代码执行漏洞。
Google详细解释道:“GKE使用Fluent Bit处理运行在集群上的工作负载的日志。GKE上的Fluent Bit还配置为收集Cloud Run工作负载的日志。配置用于收集这些日志的卷挂载允许Fluent Bit访问运行在节点上的其他Pod的Kubernetes服务帐户令牌。”这意味着威胁行为者可以利用此访问权限获得对启用了ASM的Kubernetes集群的特权访问,然后使用ASM的服务帐户令牌提升其特权,通过创建具有cluster-admin特权的新Pod。
安全研究员Shaul Ben Hai表示:“clusterrole-aggregation-controller(CRAC)服务帐户可能是首选,因为它可以向现有的集群角色添加任意权限。攻击者可以更新绑定到CRAC的集群角色,以获得所有特权。”
作为修复措施,Google已解除了Fluent Bit对服务帐户令牌的访问,并重新设计了ASM的功能,以消除过多的基于角色的访问控制(RBAC)权限。
Ben Hai总结道:“当您启动集群时,云供应商会自动创建系统Pod。它们与启用功能时创建的插件Pod在您的Kubernetes基础设施中构建。这是因为云供应商或应用程序供应商通常创建并管理它们,用户无法控制其配置或权限。这也可能非常危险,因为这些Pod以提升的权限运行。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/google-cloud-fixes-kubernetes-privilege.html
