Google, sorunu 14 Aralık 2023’te GCP-2023-047 ile ele aldı; ancak müşterilerin yamayı yüklediklerinden emin olmaları istenir.
Palo Alto Networks’ün Birim 42 araştırmacıları, Google Kubernetes Engine’de (GKE), saldırganların ayrıcalıkları yükseltmesine ve tüm kümelere yetkisiz erişim elde etmesine olanak verebilecek bir güvenlik açığı zinciri keşfetti.
Unite 42 raporu, iki temel GKE bileşenindeki potansiyel güvenlik zayıflıklarını vurguluyor: GKE için konteyner günlüklerini toplayan/ileten varsayılan günlük kaydı aracısı FluentBit ve GKE içinde hizmetten hizmete iletişim için isteğe bağlı bir eklenti olan Anthos Service Mesh (ASM) kümeler.
Birim 42 araştırmacıları ilk olarak FluentBit güvenlik açığını ASM’nin CNI DaemonSet ayrıcalıklarıyla birleştirdi ve bu, küme yöneticisi ayrıcalıklarına yükselen bir saldırı zincirine yol açtı.
Bilginize, FluenBitHafif bir günlük işlemcisi ve ileticisi olan , Mart 2023’ten bu yana GKE’de DaemonSet (denetleyici) olarak dağıtılan varsayılan günlük kaydı aracısıdır; ASM ise Google’ın Istio Service Mesh açık kaynaklı proje uygulamasıdır.
Kubernetes, uygulama dağıtımı ve yönetimi için yaygın olarak kullanılan açık kaynaklı bir konteyner platformudur ancak yanlış yapılandırma ve aşırı ayrıcalıklar nedeniyle potansiyel olarak müşterinin farkında olmadan güvenlik ihlallerine karşı hassastır.
Teknik bir blog yazısında belirtildiği gibi araştırmacılar, Google Kubernetes Engine’e (GKE) erişimi olan bir saldırganın iki güvenlik açığını zincirleyerek ayrıcalıkları artırabileceğini ve bir Kubernetes kümesini ele geçirebileceğini keşfetti. Bu, FluentBit konteynerinde uzaktan kod yürütmeyi başarmış olmaları veya başka bir konteynerden kaçabilmeleri koşuluyla, saldırganların potansiyel bir ikinci aşama yararlanma yolu elde etmesine yardımcı olabilir.
İkinci aşama bulut saldırıları, (zaten bir Kubernetes kümesine belirli düzeyde erişimi olan) bir saldırganın yanlış yapılandırmalardan veya güvenlik açıklarından yararlanarak ayrıcalıkları yaymayı/yükseltmeyi yönetmesini içerir.
Bir saldırgan, güvenliği ihlal edilmiş kapsayıcılar veya güvenlik açıkları aracılığıyla bir GKE kümesine erişebilir ve yükseltilmiş ayrıcalıklar elde etmek için FluentBit’in varsayılan yapılandırmasından yararlanabilir. ASM etkinleştirilirse saldırgan, Kubernetes API sunucusuna erişmek için varsayılan hizmet ağı ayrıcalıklarından yararlanabilir ve bu da kendisine küme üzerinde tam kontrol sağlayabilir.
FluentBit kapsayıcısı, yanlış yapılandırmadan yararlanılarak bir Kubernetes kümesine yetkisiz erişim elde etmek için kullanılabilir. Kapsayıcı, bir düğümde çalışan her bölme için öngörülen hizmet hesabı belirtecini içeren /var/lib/kubelet/pods birimini bağlar. Bu, saldırganın Kubernetes API sunucusuna ayrıcalıklı erişime sahip bir bölmeyi taklit etmesine ve tüm kümeyi eşlemesine olanak tanır. Saldırgan ayrıca CRAC’a bağlı küme rolünü tüm ayrıcalıklara sahip olacak şekilde güncelleyebilir.
ASM’nin Konteyner Ağ Arayüzü (CNI) DaemonSet’in kurulum sonrası aşırı izinleri de istismar edilerek saldırganın bu izinlerle yeni bir bölme oluşturmasına olanak sağlanabilir. Bu, saldırganın ayrıcalıkları küme yöneticisine yükselterek Kubernetes kümesi üzerinde tam kontrol elde etmesine olanak tanır.
Google, 14 Aralık 2023’te her iki yapılandırma sorununu da GCP-2023-047 ile giderdi. Google Güvenlik Ekibi, birim bağlama yapılandırmasını yalnızca gerekli olanlara indirgeyerek FluentBit’in günlüklere erişimini düzeltti. Google, Anthos Service Mesh’teki yüksek ayrıcalıkların ve sorunu çözmek için sabit/azaltılmış izinlerin farkındaydı.
Korunmaya devam etmek için FluentBit’i derhal güncellemeli, ASM ayrıcalıklarını gözden geçirmeli, GKE kümesi bileşenlerine ilişkin ayrıcalıkları en aza indirmeli ve belirlenen güvenlik açıklarını gidermek için GKE ortamınızdaki şüpheli etkinlikleri sürekli izlemelisiniz.
Anthony Tam, Güvenlik Mühendisliği Müdürü KaplanKonteynerler ve Kubernet’ler için koruma hizmetleri sağlama konusunda uzmanlaşmış San Francisco merkezli bir siber güvenlik firması, Kubernetes’teki yetersiz ağ görünürlüğünün yanlış yapılandırmalara yol açabileceğini, fidye yazılımına, verilerin açığa çıkmasına, DoS saldırılarına ve yetkisiz yanal harekete yol açabilecek güvenlik açıklarını açığa çıkarabileceğini belirtti. Bu tehditleri etkili bir şekilde ele almak için iş yükü düzeyinde görünürlüğe ihtiyaç vardır.
“Kubernetes kümelerinde ve iş yüklerinde ağ görünürlüğünün olmaması, yanlış yapılandırmalara neden olabilir ve bu da fidye yazılımı saldırıları, hassas verilerin açığa çıkması, hizmet reddi (DoS) saldırıları ve yetkisiz yatay hareket gibi yıkıcı sonuçlara yol açabilir. Geleneksel çevre tabanlı güvenlik çözümlerinin tanımlayamadığı yanlış yapılandırmaları ve tehditleri belirlemek ve azaltmak için iş yükü düzeyinde görünürlüğe sahip olmak kritik önem taşıyor.”
İLGİLİ MAKALELER
- ARMO, Kubernetes’in güvenliğini sağlamak için ChatGPT’yi entegre ediyor
- Siloscape Kötü Amaçlı Yazılımının Hedeflediği Kubernetes Kümeleri
- Siloscape Kötü Amaçlı Yazılımının Hedeflediği Kubernetes Kümeleri
- Yanlış Yapılandırılmış Kubernetes Kümelerinde Kripto Madenciliği Gelişiyor
- Google Workspace, Alan Genelinde Yetkilendirme Kusuruna Karşı Savunmasız
- OAuth2 İşlevselliği Aracılığıyla Google Çerez İstismarından Yararlanan Kötü Amaçlı Yazılım