Google Kubernetes Kusuru Google Hesap Sahibinin Kümeyi Kontrol Etmesine İzin Veriyor


Araştırmacılar, Google Kubernetes Engine’de (GKE), tehdit aktörlerinin bir Google hesabıyla yanlış yapılandırılmış Kubernetes Kümesini ele geçirmek için kullanabileceği yeni bir boşluk keşfetti.

Tehdit aktörleri, güvenliği ihlal edilmiş bu kümeleri kripto madenciliği, DoS (hizmet reddi) ve veri hırsızlığı için de kullanabilir. Bu boşluk “Sys:all” olarak adlandırılıyor ve yüzlercesi hassas bilgiler içeren 250.000’den fazla aktif GKE kümesini etkiliyor.

Bu güvenlik açığı, RBAC bağlantılarının yanlış yapılandırılması nedeniyle ortaya çıkar ve sistem:kimliği doğrulanmış grupların aşırı ayrıcalıklara sahip olmasına ve potansiyel olarak herhangi bir Google hesabı sahibinin güvenlik açığı olan kümelere erişmesine ve bunları kontrol etmesine izin vermesine neden olur.

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

Google Kubernetes Kusuru

Cyber ​​Security News ile paylaşılan raporlara göre araştırmacılar, bazı halka açık şirketler de dahil olmak üzere potansiyel olarak istismar edilebilecek binlerce kümeyi tespit eden internet çapında bir tarama gerçekleştirdi.

Ayrıca bu kümelerin Kubernetes API’si ile etkileşim kurmak için bir Python betiği ve bir Google kimlik doğrulama belirteci kullanıldı.

Dahası, bu kümelenmeleri, sahiplerini ve yaratabilecekleri etkiyi potansiyel olarak ortaya çıkarabilecek ilgili kuruluşlarla eşleştirmeye yönelik girişimler de vardı.

Hedeflenen Uç Noktalar ve Kullanım

Hedeflenen veri noktalarının çoğu, bir kuruluşa saldırmak için önemli miktarda bilgi sağlayabilecek yapılandırma haritaları, Kubernetes sırları, hizmet hesabı ayrıntıları ve diğer kritik operasyonel verilerdi.

Yanlış yapılandırmalardan yararlanmanın sonuçları, listeye izin verme, konteyner kayıtlarından görüntüler çekme ve bir kümenin yapılandırma haritasındaki AWS kimlik bilgilerine açık erişim dahil olmak üzere çok daha fazla sonuca yol açtı.

Ancak bu kimlik bilgileriyle, RabbitMQ, Elastic, kimlik doğrulama sunucusu ve dahili sistemler gibi birçok değerli uç noktanın yanı sıra yönetici kimlik bilgilerine sahip birçok hassas bilgi ve günlük içeren S3 klasörlerine erişmek mümkün oldu.

En ilginç kısım ise bu uç noktaların tümüne yönetici ayrıcalığıyla erişilebilmesidir.

RabbitMQ'ya çıkarılan kimlik bilgileriyle erişildi (Kaynak: Orca Security)
RabbitMQ’ya çıkarılan kimlik bilgileriyle erişildi (Kaynak: Orca Security)

Saldırı Akışı

İlk erişimden itibaren, yanlış yapılandırılmış GKE kümesi, sistem:kimliği doğrulanmış grup için küme yöneticisi izinlerine izin veriyordu; bu, Kubernetes API kullanılarak birden fazla değerli kaynağın sorgulanmasına olanak tanıyordu.

Erişilebilir kaynakların içinde, bir bash betiğinde AWS kimlik bilgileri (erişim anahtarı ve gizli anahtar) açığa çıktı. Bu kimlik bilgisi ayrıca, bazıları operasyonel verileri içeren günlük dosyalarını içeren birden fazla S3 paketinin içeriğini listelemek ve indirmek amacıyla S3 klasörlerine erişmek için de kullanıldı.

Kimlik bilgileri açığa çıktı (Kaynak: Orca Security)
Kimlik bilgileri açığa çıktı (Kaynak: Orca Security)

Bu günlüklerin incelenmesinin ardından araştırmacılar, dahili bir platform da dahil olmak üzere çeşitli sistemlere giriş yapmak için kullanılabilecek yönetici kimlik bilgilerini bulmayı başardılar.

Ayrıca, ElasticSearch ve RabbitMQ gibi dahili hizmetlere yönelik, süper kullanıcı ayrıcalıklarıyla erişilebilen çok sayıda önemli URL de belirlendi.



Source link