Kubernetes kapsülü V0.10.3 ve önceki sürümlerde kritik bir güvenlik açığı tanımlanmıştır, bu da kimlik doğrulamalı kiracı kullanıcılarının sistem ad alanlarına keyfi etiketler enjekte etmesine ve çok kiracılı izolasyon kontrollerini atlamasına izin vermiştir.
GHSA-FCPM-6MXQ-M5VV olarak izlenen güvenlik açığı, güvenlik araştırmacısı Oliverbaehler tarafından ifşa edildi ve Kubernetes çoklu kiracılık için kapsül üzerine güvenen kuruluşlar için önemli bir tehdit oluşturuyor.
Key Takeaways
1. Capsule v0.10.3 allows tenant users to inject labels into system namespaces.
2. Label injection enables unauthorized cross-tenant resource access via TenantResource selectors.
3. Upgrade immediately to prevent privilege escalation.
Ad alanı enjeksiyon güvenlik açığı
Kusur, PKG/Webhook/Namespace/Doğrulama/Patch içindeki ad alanı doğrulama WebHook mantığında bulunur.
Sorunlu kod yapısı temel sorunu ortaya koymaktadır:
Bu güvenlik açığı, CVE-2024-39690’ın saldırı modelini yansıtır, ancak sahibi manipülasyon yerine etiket enjeksiyonu kullanır.
Kube-System, Varsayılan ve Kapsül-Sistem gibi sistem ad alanları, capsule.clastix.io/tenant etiketinden yoksundur ve bunları doğrulanmış kiracı kullanıcıları tarafından yetkisiz etiket enjeksiyonuna duyarlı hale getirir, danışmanlığı okur.
Sömürü süreci, saldırganların standart Kubectl yama komutlarını kullanarak korunmasız sistem ad alanlarına kötü niyetli etiketler enjekte edebilecekleri sistematik bir yaklaşımı takip eder:
Daha sonra, saldırganlar, bu enjekte edilen etiketleri hedeflemek için ad alanı seçicilerini kullanan ve sistem ad alanı kaynaklarına etkili bir şekilde erişim elde eden kötü niyetli tenetresource nesneleri oluşturabilir.
Saldırı zinciri, etiket enjeksiyonu (kullanıcı kontrollü) → ad alanı seçici (sistem eşleştirme) → tenantresource/kota kontrolü (Auth Purse) → kiracılar arası kaynak erişimi, kapsülün amaçlanan güvenlik sınırlarını atlayarak ilerler.
Hafifletme
Güvenlik açığı, v0.10.3 kapsülü ve potansiyel olarak daha önceki sürümleri kullanarak çok kiracılı Kubernetes kümelerini etkiler ve hizmet olarak Kubernetes sunan kuruluşlar ve bulut hizmet sağlayıcıları için önemli riskler oluşturmaktadır.
Güvenlik sonuçları arasında çok kiracılı izolasyon bypass, ayrıcalık artış, sistem ad alanlarından potansiyel veri pessfiltrasyonu, kaynak kotası atlatma ve politika ihlalleri yer almaktadır.
Saldırganlar, küme sertifikaları ve hizmet hesabı jetonları içeren hassas kube sistemi sırlarına erişmek için bu güvenlik açığından yararlanabilir, kritik sistem yapılandırmalarını değiştirebilir ve potansiyel olarak küme çapında uzlaşmaya varabilir.
Güvenlik açığı temelde Capsule’in çok kiracılı güvenlik modelini baltalayarak kimlik doğrulamalı kullanıcıların kiracı sınırlarından kaçmasına ve sistem düzeyinde kaynaklara erişmesine izin verir.
Etkilenen kapsül versiyonlarını kullanan kuruluşlar, bu kritik güvenlik kusurunu ele alan 0.10.4 sürümüne hemen yükseltmelidir.
Yamalı versiyon, sistem ad alanlarına yetkisiz etiket enjeksiyonunu önlemek için uygun doğrulama mekanizmalarını uygular ve güvenli Kubernetes işlemleri için gerekli olan amaçlanan çok kiracı izolasyon sınırlarını geri yükler.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →