Kubernetes’te yakın zamanda keşfedilen bir güvenlik açığı, siber güvenlik topluluğunda önemli endişelere yol açtı. Akamai araştırmacısı Tomer Peled, saldırganların komut enjeksiyon saldırıları gerçekleştirmesine olanak sağlayabilecek Kubernetes’in yan projesi git-sync’te bir tasarım hatası tespit etti.
Bu güvenlik açığı, Amazon EKS, Azure AKS ve Google GKE dahil olmak üzere çeşitli platformlardaki varsayılan Kubernetes kurulumlarını etkiler. DEF CON 2024’te sunulacaktır.
Kusur, bir Kubernetes pod’unu bir Git deposuyla senkronize etmek için kullanılan bir yan konteyner olan git-sync projesinde yatmaktadır. Güncellemeleri otomatikleştirmeyi amaçlayan bu senkronizasyon süreci, girdi temizliğinin olmaması nedeniyle istemeden büyük bir saldırı yüzeyi oluşturur.
Saldırganlar, kümeye kötü amaçlı bir YAML dosyası uygulayarak, düşük ayrıcalıklı bir işlemle, keyfi komutları yürütmek veya pod’dan veri sızdırmak yoluyla bunu istismar edebilir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
İki kritik parametre, GITSYNC_GIT Ve GITSYNC_PASSWORD_FILEözellikle savunmasızdır. GITSYNC_GIT çalıştırılacak bir komutun belirtilmesine izin verir, bu komut, kod yürütülmesi için kötü amaçlı bir ikili dosyayla değiştirilebilir.
Bu sırada, GITSYNC_PASSWORD_FILE erişim belirteçleri gibi hassas bilgileri pod’dan sızdırmak için manipüle edilebilir.
Bu güvenlik açığı, yetkisiz komut yürütme ve veri hırsızlığı gibi ciddi sonuçlara yol açabilir. Asgari ayrıcalıklara sahip saldırganlar, meşru işlemler kisvesi altında komutları yürütmek için git-sync olarak gizlenmiş bir pod içinde bir ikili dosya dağıtabilir. Bu, güvenlik önlemlerini atlatabilir ve kripto madencileri dağıtmak gibi gizli saldırıları kolaylaştırabilir.
Ayrıca düzenleme ayrıcalıklarına sahip saldırganlar, git-sync’i hassas dosyaları harici bir sunucuya gönderecek şekilde yönlendirebilir ve bu da tüm Kubernetes kümesini tehlikeye atabilir.
Kusurun ciddiyetine rağmen, bir CVE atanmadı ve resmi bir yama yayınlanmadı. Kubernetes ekibi sorunu kabul etti ancak gerekli düzenleme işlemlerinin yüksek ayrıcalıklı olduğunu ve bu nedenle anında düzeltmeyi gerektirmediğini düşünüyor. Ancak araştırma, Kubernetes ortamlarının farkındalığının ve izlenmesinin artırılması gerektiğini vurguluyor.
Tomer Peled, “Bu saldırı akışı, kümelerinde önceden yetkilendirilmiş git-sync iletişimi bulunan kuruluşlarda özellikle tehlikelidir” dedi.
Riskleri azaltmak için kuruluşlara, özellikle git-sync kullanan Kubernetes pod’larından giden iletişimlerin izlenmesini geliştirmeleri önerilir. Git-sync pod’larının beklenen komutları yürüttüğünden emin olmak için düzenli denetimler önerilir.
Ayrıca, Açık Politika Aracısı (OPA) kurallarının uygulanması, git-sync yapılandırmalarında yapılan yetkisiz değişiklikleri belirleyerek olası saldırı vektörlerinin tespit edilmesine ve engellenmesine yardımcı olabilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces