グーグル・クラウドは、同社のプラットフォームに存在する重大なセキュリティ脆弱性を解消した。Kubernetesクラスタの特権。
Fluent Bitのロギングコンテナを侵害した攻撃者は、そのアクセスとAnthos Service Mesh(この機能が有効なクラスタ上)に必要な高い特権を組み合わせて、クラスタ内の特権を昇格させることができる」と、同社は2023年12月14日に投稿された速報で述べている。"
この欠陥を発見し報告したパロアルトネットワークス42部隊は、攻撃者がこの欠陥を「データの窃盗、悪意のあるポッドの展開、クラスタ運用の妨害」に利用する可能性があると述べている。
現在のところ、この問題が悪用された形跡はありません。この問題が解決されたGoogle Kubernetes Engine(GKE)とAnthos Service Mesh(ASM)のバージョンは以下の通りです。
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
この脆弱性の悪用を成功させるための主な前提条件は、攻撃者がリモート・コード実行の脆弱性など、他の初期アクセス方法によってすでにFluentBitコンテナに侵入していることです。
GKE上のFluent Bitは、Cloud Runワークロードからログを収集するようにも設定されている。これらのログを収集するように構成されたボリュームマウントによって、Fluent Bitはノード上で実行されている他のPodのKubernetesサービスアカウントトークンにアクセスできるようになります。"つまり、脅威アクターはこのアクセスを使ってASM対応のKubernetesクラスタに特権アクセスし、クラスタ管理者権限を持つ新しいPodを作成することで、ASMのサービスアカウントトークンを使って権限を昇格させることができる。
セキュリティ研究者のShaul Ben Hai氏は、「clusterrole-aggregation-controller(CRAC)サービスアカウントは、既存のクラスタロールに任意の権限を追加できるため、おそらく好ましい選択だろう。攻撃者は、CRACにバインドされたクラスタ・ロールを更新することで、すべての権限を得ることができる。"
修正策として、グーグルはFluent Bitのサービス・アカウント・トークンへのアクセスを解除し、ASMの機能を再設計して、過剰なロール・ベースのアクセス制御(RBAC)権限を排除した。
クラスターを開始すると、クラウドプロバイダーは自動的にシステムPodを作成します。システムPodは、機能を有効にしたときに作成されるプラグインPodと一緒にKubernetesインフラストラクチャに組み込まれます。クラウドプロバイダーやアプリケーションベンダーが作成・管理するのが一般的で、ユーザーはその設定や権限をコントロールできないからです。これらのPodは昇格した権限で実行されるため、これも非常に危険です。"
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/google-cloud-fixes-kubernetes-privilege.html。
