Resmi Kubernetes C# istemcisinde, bir saldırganın hassas iletişimi kesmesine ve manipüle etmesine izin verebilecek orta yüzlük güvenlik açığı keşfedilmiştir.
CVSS ölçeğinde 6.8 derecelendirilen kusur, uygunsuz sertifika doğrulama mantığından kaynaklanmaktadır.
Bu zayıflık, müşteriyi kullanarak uygulamaları ortadan ortada (MITM) saldırılara maruz bırakır ve potansiyel olarak Kubernetes API sunucusuna iletilen kimlik bilgilerinin, jetonların ve diğer gizli verilerin uzlaşmasına yol açar.
Kusurlu sertifika doğrulaması
Güvenlik açığının çekirdeği, Kubernetes C# istemcisinin bir Kubeconfig dosyasında belirtilen özel sertifika yetkililerini (CAS) kullanan TLS/HTTPS bağlantılarını nasıl işlediğinde yatmaktadır.
Müşterinin doğrulama işlemi, sunulan bir sertifikanın iyi biçimlendirilmiş olup olmadığını doğru bir şekilde kontrol eder, ancak belirtilen CA’ya karşı güven zincirini doğru bir şekilde doğrulayamaz.
Bu, kullanıcı tarafından tanımlanan özel CA’ya güvenmek yerine, herhangi bir geçerli otorite tarafından imzalanan bir sertifikayı kabul edeceği anlamına gelir.
Müşteri ile aynı ağda konumlandırılmış bir saldırgan, sahte ancak geçerli bir imzalı sertifika sunarak bunu kullanabilir.
Bu, istemci ve sunucu arasındaki tüm trafiği şifresini çözebilecekleri, okuyabilecekleri ve değiştirebilecekleri bir MITM konumu oluşturarak Kubernetes API sunucusunu taklit etmelerini sağlar.
Bu güvenlik açığı, 17.0.13’e kadar ve dahil olmak üzere Kubernetes C# istemcisinin tüm sürümlerini etkiler. Ortamlar, bir Kubernetes API sunucusuna güvenilmeyen bir ağ üzerinden bağlanmak için C# istemcisini kullanırlarsa, savunmasız olarak kabul edilir. certificate-authority Kubeconfig dosyasındaki alan.
Birincil ve en etkili hafifletme, güven zinciri validasyonunu doğru bir şekilde uygulayan 17.0.14 veya daha yeni yamalı versiyona yükseltmektir.
Hemen yama yapamayan kuruluşlar için, bir geçici çözüm özel CA sertifikasını Kubeconfig dosyasından sistemin ana güven deposuna taşımayı içerir, danışmanlığı okur.
Bununla birlikte, bu eylem kendi risklerini taşır, çünkü makinedeki tüm işlemlerin bu CA tarafından imzalanan sertifikalara güvenmeye başlamasına neden olur.
Hafifletme
Uygulamalarının etkilenip etkilenmediğini belirlemek için, yöneticiler önce Kubernetes C# istemcisinin tüm örneklerini çevrelerindeki tanımlamalıdır.
Kubeconfig dosyalarının kapsamlı bir incelemesi, kullanımını kontrol etmek için certificate-authority küme yapılandırmaları içindeki alan.
Sistem yöneticileri ayrıca istemci tarafı uygulama günlüklerini beklenmedik sertifika uyarıları veya bağlantı hataları açısından denetlemeli veya başarılı bir şekilde istismar gösterebilir.
Veri müdahalesi ve API komut manipülasyonu potansiyeli göz önüne alındığında, güvenlik ekiplerine sabit istemci sürümünün konuşlandırılmasına öncelik vermeleri şiddetle tavsiye edilir.
Proaktif denetim ve hızlı yamalama, bu kimliğe bürünme tehdidine karşı Kubernetes ortamlarının güvence altına alınması için çok önemlidir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free