Son araştırmalar, Amazon Elastik Kubernetes Hizmetinde (EKS), hassas AWS kimlik bilgilerini ortaya çıkarabilecek ve bulut ortamlarında ayrıcalık artışını sağlayabilecek kritik güvenlik kusurlarını ortaya çıkardı.
Yanlış yapılandırmalar ve aşırı konteyner ayrıcalıklarına dayanan güvenlik açıkları, Kubernetes tabanlı konteyner platformlarını ölçeklendirmenin devam eden zorluklarını vurgulamaktadır.
Amazon EKS, Kubernetes kümelerini AWS’de çalıştırmayı, Kubernetes kontrol düzleminin yönetimini otomatikleştiren ve ağ, güvenlik ve depolama için AWS hizmetleriyle entegre eden yönetilen bir hizmettir.
.png
)
Özelliklerinden biri olan EKS POD Identity, her düğümde çalışan EKS-Pod kimlik aracısı aracılığıyla geçici kimlik bilgileri vererek POD’ların AWS kaynaklarına güvenli bir şekilde erişmesine izin verir.
Bu aracı, yerel bir IP adresinde bir API ortaya çıkarır ve POD’lardaki uygulamaların ilişkili IAM rolleri için gerekli kimlik bilgilerini elde etmesine izin verir.
Kusurlar nasıl çalışır
Güvenlik riskleri, kaplar yanlış yapılandırıldığında veya aşırı ayrıcalıklar verildiğinde ortaya çıkar.
Özellikle, HostNetwork: True ayarlı kapsüller, düğümdeki ağ trafiğini izleyebilir ve potansiyel olarak EKS-Pod-kimlik-ajanı ile talep eden bölme arasında düz metin iletilen kimlik bilgilerini yakalayabilir.
Bu kimlik bilgileri belirli bir ana bilgisayara bağlı olmadığından, kötü niyetli bir aktör bunları yetkisiz erişim elde etmek ve AWS ortamında ayrıcalıkları artırmak için kullanabilir.
Bir kavram kanıtı, TCPDUMP gibi standart araçları kullanarak saldırganların şifrelenmemiş HTTP üzerinden gönderilen AWS kimlik bilgilerini yakalayabileceğini gösterdi.
Bu güvenlik açığı, kimlik bilgisi bağlanmasının uygulanmaması ve kesilen kimlik bilgilerinin çevrenin başka bir yerinde yeniden kullanılmasına izin verilmesiyle ağırlaştırılır.
Başka bir saldırı vektörü API Sahtekarlığı içerir. Bazı ağ özellikleri (CAP_NET_RAW gibi) kaldırılmış olsa bile, diğer ayrıcalıklara sahip kaplar (CAP_net_admin gibi) ağ arayüzlerini manipüle edebilir.
Bu, bir Rogue Pod’un meşru EKS-Pod-kimlik ajanını devre dışı bırakmasını ve kötü niyetli bir HTTP sunucusuyla değiştirmesini sağlar, bu da geçerli AWS kimlik bilgileri elde etmek için istekleri ve hasat yetkilendirme belirteçlerini ele geçirir.
Satıcı yanıtı ve paylaşılan sorumluluk
Güvenlik açıkları Trend Sıfır Günü Girişimi (ZDI) aracılığıyla Amazon’a bildirildi ve ZDI-CAN-26891 olarak belgelendi.
AWS, gözlemlenen davranışın bir güvenlik sorunu olarak kabul edilmediğini değil, düğümün güven sınırı içinde beklenen olduğunu belirterek yanıt verdi.
AWS’ye göre, konteynırların uygun şekilde kapsamlı olmasını ve paylaşılan sorumluluk modeli doğrultusunda gereksiz ayrıcalıklara sahip olmamasını sağlamak müşterinin sorumluluğuna altındadır.
Azaltma ve en iyi uygulamalar
Güvenlik uzmanları, kapları yapılandırırken en az ayrıcalık ilkesine bağlı kalmanın önemini vurgulamaktadır.
Kuruluşlar konteyner yeteneklerini proaktif olarak yönetmeli, HostNetwork: True kullanımını kısıtlamalı ve güvenlik araçlarını kullanarak aşırı ayrıcalıkları izlemelidir.
Kubernetes’in benimsenmesi büyümeye devam ettikçe, bu bulgular, yönetilen hizmetlerin bile hassas bulut varlıklarını korumak için uyanık güvenlik uygulamaları ve sürekli izleme gerektirdiğini hatırlatıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin