Google Kubernetes Engine (GKE) içindeki kimlik doğrulama mekanizmasında, herhangi bir Google hesabına sahip harici bir saldırganın kuruluşların özel bilgilerine erişmesine izin verebilecek bir boşluk bulunmaktadır Kubernetes konteyner kümeleriaraştırmacılar buldu.
Orca Security, bunun kripto madenciliği, hizmet reddi (DoS) ve hassas verilerin çalınması gibi ciddi bulut güvenliği olaylarına yol açabileceği konusunda uyardı.
Orca Araştırma Pod’u, kullanıcıların Google hesabı olan tüm kullanıcıları içeren “system:authenticated” grubuna Kubernetes ayrıcalıkları vermesiyle ortaya çıkan Sys:All adlı sorunu keşfetti. Yöneticiler, bu grubun yalnızca kuruluş tarafından yetkilendirilmiş ve doğrulanmış GKE kullanıcılarını içerdiğine inandıkları için, Google tarafından seçilen bu gruba erişim izni verebilir veya GKE deyimiyle “bağlayabilir”. Gerçekte grup, kuruluş dışındakiler de dahil olmak üzere Google tarafından doğrulanmış herhangi bir hesabı içermektedir. bir blog yazısı 24 Ocak’ta yayınlandı.
Orca’nın kıdemli güvenlik araştırmacısı Roi Nimisi, gönderisinde “Bu yanlış anlama, yöneticilerin farkında olmadan bu grubu aşırı hoşgörülü rollere bağlaması durumunda önemli bir güvenlik açığı yaratıyor” diye yazdı. “Yöneticiler yanlışlıkla bunun güvenli olduğuna inanabilirler; özellikle de AWS ve Azure’daki benzer Kubernetes grupları için durum böyle olacağından.”
Orca araştırmacıları, bilinen bir sınıfsız etki alanları arası yönlendirmede (CIDR) GKE kümeleri için kısa bir Python komut dosyası taraması yazdı ve “minimum çabayla” ulaşılabilir durumda 250.000 aktif GKE kümesi buldu; Araştırmacılar, bunlardan 1.300 kümenin Sys:Tüm saldırılara karşı potansiyel olarak savunmasız olduğunu ve bunlardan 108’inin, küme yöneticisi erişimine, küme çapında sırların listelenmesine veya küme çapında yazma/silme eylemlerine izin vererek anında bir tehlikeye yol açabileceğini buldu. Diğerleri, farklı yerel kaynaklar üzerinde okuma izinlerine ve özel kaynaklar üzerinde okuma/tüm izinlere izin verir.
Bu sayıların tehdit ortamının yalnızca bir kısmı olduğu göz önüne alındığında Nimisi, “Bu saldırı vektörüne karşı 1 milyondan fazla savunmasız GKE kümesinin beklenebileceğini dikkatlice söyleyebilirim” diye yazdı.
Savunmasız GKE Kümelerindeki Güvenlik Açıklarından Yararlanma
GKE, Google’ın kimlik sağlayıcısı olarak sorunsuz OIDC tabanlı kimlik doğrulaması da dahil olmak üzere özel özellikler ve entegrasyonlar içeren açık kaynaklı Kubernetes kapsayıcı yönetim aracının kullanıma hazır, yönetilen uygulamasıdır.
Kubernet’ler konteynerler için en yaygın kullanılan açık kaynaklı sistemlerden biri olarak ortaya çıkmıştır; ancak aynı zamanda öncelikli hedef nedeniyle tehdit aktörleri için büyük potansiyel kurumsal verilerin kullanılması ve bunlara erişim için.
Ayrıca, gevşek izinler daha önce Kubernetes için sorunlar yaratmıştı. Böyle bir durumda, bir saldırgan cryptojacking saldırısını şuna dönüştürdü: geniş kapsamlı bir saldırı Amazon Web Services (AWS) bulutu üzerinde çalışan bir Kubernetes kümesindeki gevşek izinlerden yararlanarak fikri mülkiyet haklarını ve hassas verileri hedef alan saldırı.
Konsept kanıtı olarak, araştırmacıların kendileri zaten Sys:All boşluğundan faydalanarak Nasdaq’da listelenen bir şirketin kümeleri de dahil olmak üzere savunmasız GKE kümelerine sızmayı başardılar. tamamlayıcı blog yazısı 24 Ocak’ta yayınlandı.
“Sistemde görünüşte zararsız bir yanlış yapılandırma: Kimliği doğrulanmış grubun, listeye izin verilmesi ve şirketin konteyner kayıtlarından görüntüler çekilmesi ve bir kümenin yapılandırma haritasında saklanan AWS kimlik bilgilerine (bulunan diğer hassas verilerin yanı sıra) açık erişim sağlanması gibi geniş kapsamlı sonuçları vardı.” Orca’nın güvenlik araştırmacısı Ofir Yakobi, gönderide şunu yazdı:
Araştırmacılar bu kimlik bilgilerini, hassas bilgiler içeren AWS S3 klasörlerine ve daha ayrıntılı analiz sonucunda RabbitMQ, Elastic, kimlik doğrulama sunucusu ve diğer dahili sistemler de dahil olmak üzere tamamı yönetici erişimine sahip olan sistem yöneticisi kimlik bilgilerini ve değerli uç noktaları açığa çıkaran birden fazla günlük kaydına erişmek için kullandı.
Açığa çıkan diğer GKE kümeleri üzerinde yapılan inceleme, birden fazla kuruluşta GCP API anahtarlarının ve hizmet hesabı JSON’larının açığa çıkması, özel anahtarların keşfi, konteyner kayıt defterlerine erişim ve kritik hizmetlere erişim gibi çeşitli hassas verilerin açığa çıktığını ortaya çıkardı.
Yakobi, “Araştırmamızdan elde edilen kümülatif bulgular, bulut ortamlarındaki güvenlik açıklarının yaygın doğasına ilişkin endişe verici bir tablo çizdi” diye yazdı.
Google’ın Yanıtı ve Siber Risk Azaltımları
Orca, Google’ı hemen Sys:All’den ve ardından şirketten haberdar etti bir güvenlik bülteni yayınladı birkaç tane ile önleme tedbirleri Nimisi, motorun içindeki davranışı değiştirmenin “tasarımın bozulması nedeniyle pratik olmadığı” halde bu soruna çözüm bulmanın mümkün olduğunu yazdı.
Örneğin Google, motorun daha yeni sürümlerinde (sürüm 1.28 ve üzeri) system:authenticated grubunun küme yöneticisi rolüne bağlanmasını engelledi. Şirket ayrıca potansiyel olarak savunmasız müşterileri bilgilendiriyor ve gelecekte daha fazla mimari değişiklik planlıyor.
Nimisi, bu hafifletmelere rağmen, küme yöneticisi dışında sisteme atanabilecek çok sayıda başka rol ve izin bulunduğunu söyledi: kimliği doğrulanmış grup, bu nedenle boşluk önemli bir güvenlik sorunu olmaya devam ediyor, dedi Nimisi.
Bu nedenle Orca, GKE 1.28 veya sonraki bir sürüme yükseltmenin yanı sıra, GKE kümeleri çalıştıran kuruluşların kendilerini korumak için en az ayrıcalık ilkesini sıkı bir şekilde takip etmesi gerektiğini tavsiye ediyor. Bu, kullanıcılara yalnızca bir kuruluş içindeki belirli rolleri için gerçekten ihtiyaç duydukları bulut varlıklarına ayrıcalık vermeleri gerektiği anlamına gelir. Bu ayrıcalıklar aynı zamanda gereğinden fazla erişim sağlanmayacak şekilde sürekli olarak izlenmelidir.
Google’ın bülteninde belirtildiği gibi, “Google’ın kimlik doğrulama yaklaşımı, Google Cloud ve GKE’de kimlik doğrulamayı, karmaşık yapılandırma adımları eklemeden mümkün olduğunca basit ve güvenli hale getirmektir. bize yalnızca kullanıcının kim olduğunu söyler; yetkilendirme, erişimin belirlendiği yerdir.”
Nimisi, kuruluşların bulut kurulumlarındaki potansiyel olarak savunmasız tüm Kubernetes kümelerini bulmalarına, izinleri sıkılaştırmalarına ve gelecekte meydana gelebilecek tüm yapılandırmalara karşı sürekli olarak izlendiklerinden emin olmalarına yardımcı olmak için saygın bir bulut güvenlik platformu kullanmayı düşünebileceklerini ekledi.
Bir Google sözcüsüne göre Google, bulguları yanıtına dahil etmek için Orca Research ile de aktif olarak işbirliği yapıyor.
Kişi, “Güvenlik Açığı Ödül Programımızı özellikle potansiyel müşteri etkisine sahip güvenlik olaylarını belirlemek için oluşturduk” diyor. “Orca Security’yi ve daha geniş güvenlik topluluğunun bu programlara devam eden katılımını takdir ediyoruz. Araştırmacıların çalışmalarına değer veriyoruz ve bir güvenlik bülteni etkilenen sınırlı sayıdaki GKE kullanıcısı için, kendilerini herhangi bir kazara yetkilendirmeye karşı korumak için atmaları gereken adımları ayrıntılarıyla anlatıyor.”