Siber güvenlik araştırmacıları, Google Kubernetes Engine’i (GKE) etkileyen ve Google hesabına sahip tehdit aktörlerinin Kubernetes kümesinin kontrolünü ele geçirmek için kullanabileceği potansiyel bir boşluk keşfetti.
Kritik eksikliğe kod adı verildi Sistem:Tümü Bulut güvenlik firması Orca tarafından. Vahşi doğada 250.000 kadar aktif GKE kümesinin saldırı vektörüne karşı duyarlı olduğu tahmin ediliyor.
The Hacker News ile paylaşılan bir raporda, güvenlik araştırmacısı Ofir Yakobi, bunun “Google Kubernetes Engine’deki system:authenticated grubunun yalnızca doğrulanmış ve deterministik kimlikleri içerdiği, aslında Google tarafından kimliği doğrulanmış herhangi bir hesabı içerdiği yönündeki yaygın bir yanlış kanıdan kaynaklandığını” söyledi ( örgütün dışında bile).”
System:authenticated grubu, insan kullanıcıları ve hizmet hesaplarını sayan, kimliği doğrulanmış tüm varlıkları içeren özel bir gruptur. Sonuç olarak, yöneticilerin istemeden de olsa aşırı hoşgörülü roller vermeleri durumunda bunun ciddi sonuçları olabilir.
Spesifik olarak, bir Google hesabına sahip olan harici bir tehdit aktörü, kendi Google OAuth 2.0 taşıyıcı jetonunu kullanarak yanal hareket, kripto madenciliği, hizmet reddi gibi takip eden istismarlar için kümenin kontrolünü ele geçirmek amacıyla bu yanlış yapılandırmayı kötüye kullanabilir. hassas veri hırsızlığı.
Daha da kötüsü, bu yaklaşım, OAuth taşıyıcı jetonunu alan gerçek Gmail veya Google Workspace hesabına bağlanabilecek bir iz bırakmıyor.
Sys:All’in çok sayıda kuruluşu etkilediği ve JWT tokenleri, GCP API anahtarları, AWS anahtarları, Google OAuth kimlik bilgileri, özel anahtarlar ve konteyner kayıtlarındaki kimlik bilgileri gibi çeşitli hassas verilerin açığa çıkmasına yol açtığı tespit edildi. daha sonra konteyner görüntülerini truva atı haline getirmek için kullanılabilir.
Google’a yapılan sorumlu açıklamanın ardından şirket, system:authenticated grubun GKE 1.28 ve sonraki sürümlerinde küme yöneticisi rolüne bağlanmasını engellemek için adımlar attı.
“Kümelerinizi, küme yöneticisi erişimindeki yanlış yapılandırmalardan yararlanan toplu kötü amaçlı yazılım saldırılarına karşı korumaya yardımcı olmak için, sürüm 1.28 ve üzerini çalıştıran GKE kümeleri, küme yöneticisi ClusterRole’u sisteme:anonim kullanıcıya veya sisteme:kimliği doğrulanmamış veya doğrulanmamış şekilde bağlamanıza izin vermez sistem:kimliği doğrulanmış gruplar” Google artık belgelerinde belirtiyor.
Google ayrıca kullanıcılara system:authenticated grubu herhangi bir RBAC rolüne bağlamamalarını, ayrıca kümelerin hem ClusterRoleBindings hem de RoleBindings kullanılarak gruba bağlanıp bağlanmadığını değerlendirmelerini ve güvenli olmayan bağlamaları kaldırmalarını öneriyor.
Orca ayrıca, bu yöntemin kullanıldığı büyük ölçekli bir saldırının kamuya açık bir kaydı bulunmamakla birlikte, bunun yalnızca zaman meselesi olabileceği ve kullanıcıların küme erişim kontrollerini güvence altına almak için uygun adımları atmasını gerektirebileceği konusunda da uyardı.
Şirket, “Bu bir gelişme olsa da, bunun hâlâ gruba atanabilecek birçok başka rol ve izin bıraktığını unutmamak önemlidir” dedi.