Google 클라우드는 공격자가 액세스한 취약점을 확대하기 위해 악용할 수 있는 플랫폼의 중대한 보안 취약점을 해결했습니다.Kubernetes클러스터 권한.
플루언트 비트 로깅 컨테이너를 손상시킨 공격자는 해당 액세스 권한을 (이 기능이 활성화된 클러스터에서) 안토스 서비스 메시에 필요한 높은 권한과 결합하여 클러스터의 권한을 상승시킬 수 있습니다."라고 2023년 12월 14일에 게시된 공지를 통해 밝혔습니다. "
이 결함을 발견하고 보고한 팔로알토 네트웍스 유닛 42는 공격자가 이 결함을 "데이터 도용, 악성 포드 배포, 클러스터 운영 방해"에 사용할 수 있다고 밝혔습니다.
현재 이 문제가 야생에서 악용되고 있다는 증거는 없습니다. 다음은 이 문제를 해결한 Google Kubernetes Engine(GKE) 및 Anthos Service Mesh(ASM)의 버전입니다.
1.25.16-GKE.1020000
1.26.10-GKE.1235000
1.27.7-GKE.1293000
1.28.4-GKE.1083000
1.17.8-ASM.8
1.18.6-ASM.2
1.19.5-ASM.4
이 취약점을 성공적으로 익스플로잇하기 위한 핵심 전제 조건은 공격자가 원격 코드 실행 취약점과 같은 다른 초기 액세스 방법을 통해 이미 FluentBit 컨테이너를 손상시킨 상태여야 합니다.
구글은 "GKE는 클러스터에서 실행 중인 워크로드의 로그를 처리하기 위해 플루언트 비트를 사용하며, GKE의 플루언트 비트는 클라우드 런 워크로드에서 로그를 수집하도록 구성된다"고 자세히 설명한다. 이러한 로그를 수집하도록 구성된 볼륨 마운트를 통해 Fluent Bit는 노드에서 실행 중인 다른 파드의 Kubernetes 서비스 계정 토큰에 액세스할 수 있습니다." 즉, 위협 행위자가 이 액세스를 사용하여 ASM이 활성화된 Kubernetes 클러스터에 대한 권한 있는 액세스 권한을 얻은 다음, 클러스터 관리자 권한이 있는 새 파드를 생성하여 ASM의 서비스 계정 토큰을 사용하여 권한을 높일 수 있다는 뜻입니다.
보안 연구원 숄 벤 하이는 "CRAC(클러스터 역할 집합 제어기) 서비스 계정은 기존 클러스터 역할에 임의의 권한을 추가할 수 있기 때문에 선호되는 선택일 것입니다. 공격자는 CRAC에 바인딩된 클러스터 역할을 업데이트하여 모든 권한을 얻을 수 있습니다."
이 문제를 해결하기 위해 Google은 플루언트 비트의 서비스 계정 토큰에 대한 액세스 권한을 해제하고 과도한 역할 기반 액세스 제어(RBAC) 권한을 제거하기 위해 ASM의 기능을 재설계했습니다.
"클러스터를 시작하면 클라우드 제공자가 자동으로 시스템 파드를 생성합니다. 이 파드는 기능이 활성화될 때 생성되는 플러그인 파드와 함께 Kubernetes 인프라에 구축됩니다. 이는 일반적으로 클라우드 제공자 또는 애플리케이션 벤더가 생성하고 관리하며 사용자는 구성이나 권한을 제어할 수 없기 때문입니다. 또한 이러한 파드는 상승된 권한으로 실행되기 때문에 매우 위험할 수 있습니다."
최고 보안 책임자의 원본 글, 복제 시 출처 표시: https://cncso.com/kr/google-cloud-fixes-kubernetes-privilege.html
