Kubernetes kümeleri için bir GITOPS yönetim aracı olan SUSE Filosunda yüksek şiddetli bir kırılganlık, Github Güvenlik Danışmanlığı GHSA-6H9X-9J5V-7W9H aracılığıyla güvenlik araştırmacısı Samjustus tarafından açıklandı.
CVE-2024-52284 olarak izlenen güvenlik açığı, dümen grafik değerlerinin-genellikle hassas kimlik bilgileri içeren-bundloyloyment kaynaklarının içinde düz metinde saklanmasına ve GET veya List izleri ile herhangi bir kullanıcıya maruz bırakılmasına izin verir.
SUSE Filo, Git depolarını Kubernetes tezahürlerine karşı uzlaştırarak sürekli konuşlandırmayı kolaylaştırır.
Kullanıcılar BundledEployment.spec.options.helm.values alanı aracılığıyla özel dümen değerleri sağladığında, filo bu değerleri doğrudan mutabakat döngüsünde uygular.
Kubernetes sırlarında grafik durumu ve değerleri depolayan Helm V3’ün aksine (dinlenmede şifreleme sağlar), filo tarihsel olarak gömülü dümen değerlerini şifreleme olmadan Bundloyloyment özel kaynaklarına yerleştirir.
Kubernetes, varsayılan olarak, özel kaynak alanlarını istirahatte şifrelemez ve küme veri deposunda korunmamış hassas bilgileri bırakır.
Güvenlik açığının birincil etkisi, sırların yetkisiz olarak ifşa edilmesidir. Herhangi bir kullanıcı, bir küme ad alanında BundledEployment nesnelerini listeleme veya alma yeteneği verilen, şifrelenmemiş dümen değerlerini toplayabilir, kimlik bilgilerini, jetonları veya diğer kritik verileri ortaya çıkarabilir.
Kubernetes özel kaynakları, küme istirahatte şifreleme ile açıkça yapılandırılmadığı sürece, şifrelenmemiş etcd girişleri olarak saklandığından, sızdırılmış değerler küme veri deposu erişimi olan herkes tarafından uzlaşmaya karşı savunmasız kalır.
Bu davranış, Helm’in varsayılan güvenlik duruşundan önemli bir sapmayı temsil eder. Helm V3 depoları, Kubernetes’in rol tabanlı erişim kontrollerinden ve isteğe bağlı ETCD şifrelemesinden yararlanarak meta verileri ve sırlarda değerleri serbest bırakır.
Filo’nun önceki yaklaşımı, paketliployment nesneleri Kubectl veya API sunucusu aracılığıyla sorgulandığında, göze çarpan bir boşluk bırakır: hassas yapılandırma verileri düz görünümde.
CVS’ler ve şiddet
Açıklanan ayrıntılara göre, güvenlik açığı 7.4 (yüksek) bir CVSS V3.1 taban skoru taşır. Arıza aşağıdaki gibidir:
- Saldırı Vektörü: Ağ.
- Saldırı Karmaşıklığı: Düşük.
- Gereken ayrıcalıklar: düşük.
- Kullanıcı etkileşimi: yok.
- Kapsam: Değiştirildi.
- Gizlilik Etkisi: Yüksek.
- Dürüstlük Etkisi: Yok.
- Kullanılabilirlik Etkisi: Yok.
Bu metrikler, bir saldırganın veya yetkisiz bir kullanıcının hassas verileri toplayabilme kolaylığının altını çizerek, yalnızca minimum izinler ve standart API çağrıları vermenin ötesinde etkileşim gerektirmez.
0.14.0’dan önceki filo sürümleri özellikle etkilenir:
- = 0.11.0, <0.11.10
- = 0.12.0, <0.12.6
- = 0.13.0, <0.13.1
0.14.0, 0.13.1, 0.12.6 ve 0.11.10 sürümleri yamayı içerir. Güncelleme, filonun her BundledEployment’ın dümen değerleri için özel bir Kubernetes sırrı oluşturduğu bir mekanizma sunar ve bu değerlerin artık CRD nesneleri içinde düz metinde bulunmamasını sağlar.
Filo denetleyicisi artık mutabakattan önce otomatik olarak aynı ad alanında bir sır oluşturur ve filo aracısı, dümen değerlerini BundledEployment özelliklerinden ziyade bu sırrdan alır.
Hafifletme
Hemen iyileştirme, yamalı sürümlerden birine yükseltmektir. Derhal yükseltilemeyen ortamlar için filo kullanıcıları, doğrudan spec içi değer dosyalarından kaçınarak pozlamayı azaltabilir.
Bunun yerine, dosyaları yalnızca dosya adına göre referans, Filet’in dışlama mantığının onları sırlara yerleştirmesini sağlamak:
Yanlış (riskli) yapılandırma:
texthelm:
valuesFiles:
- config-chart/values.yaml
Güvenli Çözüm:
texthelm:
valuesFiles:
- values.yaml
Bu adlandırma sözleşmesi, filonun dosyayı harici olarak yorumlamasını ve düz metin spec dökümünden hariç tutmasını sağlar.
Operatörler:
- Filo Yükseltme V0.14.0 veya üstüne veya geçerli serbest bırakma satırlarıyla eşleşen karşılık gelen yamalı versiyona.
- Mevcut BundledEployments’ı denetleyin Yanlışlıkla maruz kalan sırlar için ve tehlikeye atılan kimlik bilgilerini derhal döndürün.
- Kubernetes şifrelemesini dinlendirme Tüm kritik ad alanları için Filet’in yerleşik gizli depolamasının ötesinde bile başka bir koruma katmanı eklemek için.
- RBAC politikalarını gözden geçirin BundledEployment kaynaklarındaki işlemleri yalnızca güvenilir kullanıcılarla sınırlamak ve listelemek için.
Kimlik bilgisi hırsızlık teknikleri hakkında daha fazla bağlam için, Bkz. MITER ATT & CK Tekniği T1555: Şifre Mağazalarından Kimlik Bilgileri.
Bu güvenlik açığını ele almak sadece SUSE filo dağıtımlarını güvence altına almakla kalmaz, aynı zamanda küme tezahürleri içindeki düz metinde sırları asla ortaya çıkarmanın daha geniş prensibini güçlendirir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.