Araştırmacılar, Google Kubernetes Engine’de (GKE), tehdit aktörlerinin bir Google hesabıyla yanlış yapılandırılmış Kubernetes Kümesini ele geçirmek için kullanabileceği yeni bir boşluk keşfetti.
Tehdit aktörleri, güvenliği ihlal edilmiş bu kümeleri kripto madenciliği, DoS (hizmet reddi) ve veri hırsızlığı için de kullanabilir. Bu boşluk “Sys:all” olarak adlandırılıyor ve yüzlercesi hassas bilgiler içeren 250.000’den fazla aktif GKE kümesini etkiliyor.
Bu güvenlik açığı, RBAC bağlantılarının yanlış yapılandırılması nedeniyle ortaya çıkar ve sistem:kimliği doğrulanmış grupların aşırı ayrıcalıklara sahip olmasına ve potansiyel olarak herhangi bir Google hesabı sahibinin güvenlik açığı olan kümelere erişmesine ve bunları kontrol etmesine izin vermesine neden olur.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Google Kubernetes Kusuru
Cyber Security News ile paylaşılan raporlara göre araştırmacılar, bazı halka açık şirketler de dahil olmak üzere potansiyel olarak istismar edilebilecek binlerce kümeyi tespit eden internet çapında bir tarama gerçekleştirdi.
Ayrıca bu kümelerin Kubernetes API’si ile etkileşim kurmak için bir Python betiği ve bir Google kimlik doğrulama belirteci kullanıldı.
Dahası, bu kümelenmeleri, sahiplerini ve yaratabilecekleri etkiyi potansiyel olarak ortaya çıkarabilecek ilgili kuruluşlarla eşleştirmeye yönelik girişimler de vardı.
Hedeflenen Uç Noktalar ve Kullanım
Hedeflenen veri noktalarının çoğu, bir kuruluşa saldırmak için önemli miktarda bilgi sağlayabilecek yapılandırma haritaları, Kubernetes sırları, hizmet hesabı ayrıntıları ve diğer kritik operasyonel verilerdi.
Yanlış yapılandırmalardan yararlanmanın sonuçları, listeye izin verme, konteyner kayıtlarından görüntüler çekme ve bir kümenin yapılandırma haritasındaki AWS kimlik bilgilerine açık erişim dahil olmak üzere çok daha fazla sonuca yol açtı.
Ancak bu kimlik bilgileriyle, RabbitMQ, Elastic, kimlik doğrulama sunucusu ve dahili sistemler gibi birçok değerli uç noktanın yanı sıra yönetici kimlik bilgilerine sahip birçok hassas bilgi ve günlük içeren S3 klasörlerine erişmek mümkün oldu.
En ilginç kısım ise bu uç noktaların tümüne yönetici ayrıcalığıyla erişilebilmesidir.
Saldırı Akışı
İlk erişimden itibaren, yanlış yapılandırılmış GKE kümesi, sistem:kimliği doğrulanmış grup için küme yöneticisi izinlerine izin veriyordu; bu, Kubernetes API kullanılarak birden fazla değerli kaynağın sorgulanmasına olanak tanıyordu.
Erişilebilir kaynakların içinde, bir bash betiğinde AWS kimlik bilgileri (erişim anahtarı ve gizli anahtar) açığa çıktı. Bu kimlik bilgisi ayrıca, bazıları operasyonel verileri içeren günlük dosyalarını içeren birden fazla S3 paketinin içeriğini listelemek ve indirmek amacıyla S3 klasörlerine erişmek için de kullanıldı.
Bu günlüklerin incelenmesinin ardından araştırmacılar, dahili bir platform da dahil olmak üzere çeşitli sistemlere giriş yapmak için kullanılabilecek yönetici kimlik bilgilerini bulmayı başardılar.
Ayrıca, ElasticSearch ve RabbitMQ gibi dahili hizmetlere yönelik, süper kullanıcı ayrıcalıklarıyla erişilebilen çok sayıda önemli URL de belirlendi.