Siber güvenlik araştırmacıları, Microsoft Azure Kubernetes Hizmetlerini etkileyen ve başarıyla istismar edilmesi halinde saldırganın küme tarafından kullanılan hizmetlere ilişkin ayrıcalıklarını artırmasına ve kimlik bilgilerine erişmesine olanak tanıyabilecek bir güvenlik açığını ortaya çıkardı.
Google’ın sahibi olduğu Mandiant, “Etkilenen bir Azure Kubernetes Hizmetleri kümesi içinde çalışan bir Pod’da komut yürütme yapan bir saldırgan, küme düğümünü sağlamak için kullanılan yapılandırmayı indirebilir, taşıma katmanı güvenliği (TLS) önyükleme belirteçlerini çıkarabilir ve küme içindeki tüm sırları okumak için bir TLS önyükleme saldırısı gerçekleştirebilir” dedi.
“Ağ yapılandırması” için “Azure CNI” ve “Ağ Politikası” için “Azure” kullanan kümelerin ayrıcalık yükseltme hatasından etkilendiği tespit edildi. Microsoft, sorumlu ifşanın ardından sorunu ele aldı.
Tehdit istihbarat firması tarafından geliştirilen saldırı tekniği, korunan ayar değerlerini şifrelemek için kullanılan bir anahtarı (“wireserver.key”) talep etmek ve aşağıdaki gibi çeşitli sırları içeren bir sağlama betiğini çözmek için Azure WireServer adlı az bilinen bir bileşene erişmeye dayanıyor:
- KUBELET_CLIENT_CONTENT (Genel Düğüm TLS Anahtarı)
- KUBELET_CLIENT_CERT_CONTENT (Genel Düğüm TLS Sertifikası)
- KUBELET_CA_CRT (Kubernetes CA Sertifikası)
- TLS_BOOTSTRAP_TOKEN (TLS Önyükleme Kimlik Doğrulama Belirteci)
Araştırmacılar Nick McClendon, Daniel McNamara ve Jacob Paullus, “KUBELET_CLIENT_CONTENT, KUBELET_CLIENT_CERT_CONTENT ve KUBELET_CA_CRT, kümede kimlik doğrulaması yapmak için Kubernetes komut satırı aracı kubectl ile birlikte kullanılmak üzere Base64 olarak kodlanabilir ve diske yazılabilir” dedi.
“Bu hesap, yakın zamanda dağıtılan Azure Kubernetes Service (AKS) kümelerinde asgari düzeyde Kubernetes izinlerine sahip, ancak kümedeki düğümleri listeleyebiliyor.”
Öte yandan TLS_BOOTSTRAP_TOKEN, bir TLS önyükleme saldırısını etkinleştirmek ve nihayetinde çalışan iş yükleri tarafından kullanılan tüm sırlara erişim elde etmek için kullanılabilir. Saldırı, pod’un kök olarak çalışmasını gerektirmez.
“Yalnızca gerekli hizmetlere erişime izin veren kısıtlayıcı NetworkPolicies oluşturmak için bir süreç benimsemek, bu saldırı sınıfının tamamını engeller,” dedi Mandiant. “Hizmete hiç erişilemediğinde, belgelenmemiş bir hizmet aracılığıyla ayrıcalık yükseltmesi engellenir.”
Açıklama, Kubernetes güvenlik platformu ARMO’nun, ingress-nginx denetleyicisini etkileyen ve kötü niyetli bir aktörün hassas küme kaynaklarına yetkisiz erişim elde etmesine olanak sağlayabilecek yeni bir yüksek öneme sahip Kubernetes açığını (CVE-2024-7646, CVSS puanı: 8,8) vurgulamasının ardından geldi.
Güvenlik araştırmacısı Amit Schendel, “Güvenlik açığı, ingress-nginx’in Ingress nesnelerindeki ek açıklamaları doğrulama biçimindeki bir kusurdan kaynaklanıyor” dedi.
“Bu güvenlik açığı, saldırganın belirli açıklamalara kötü amaçlı içerik enjekte etmesine ve amaçlanan doğrulama kontrollerini atlatmasına olanak tanır. Bu, keyfi komut enjeksiyonuna ve varsayılan yapılandırmalarda kümedeki tüm sırlara erişimi olan ingress-nginx denetleyicisinin kimlik bilgilerine potansiyel erişime yol açabilir.”
Ayrıca, Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) ve Linode genelinde komut enjeksiyonuna izin verebilecek Kubernetes git-sync projesinde bir tasarım hatasının keşfedilmesinin ardından geldi.
“Bu tasarım hatası, pod’daki herhangi bir dosyanın (hizmet hesabı belirteçleri dahil) veri sızdırılmasına veya git_sync kullanıcı ayrıcalıklarıyla komut yürütülmesine neden olabilir,” dedi Akamai araştırmacısı Tomer Peled. “Hatayı istismar etmek için bir saldırganın yapması gereken tek şey, kümeye düşük ayrıcalıklı bir işlem olan bir YAML dosyası uygulamaktır.”
Bu güvenlik açığı için henüz bir yama planlanmadığından, kuruluşların hangi komutların çalıştırıldığını belirlemek için git-sync pod’larını denetlemeleri hayati önem taşıyor.
“Her iki vektör de girdi temizleme eksikliğinden kaynaklanıyor ve bu da kullanıcı girdi temizleme konusunda sağlam bir savunmaya ihtiyaç duyulduğunu gösteriyor,” dedi Peled. “Mavi takım üyeleri, kuruluşlarındaki gitsync kullanıcısından gelen alışılmadık davranışlara karşı dikkatli olmalı.”