Ben Dickson 28 Eylül 2022, 14:08 UTC
Güncelleme: 30 Eylül 2022, 12:16 UTC
Bakımcılar güvenlik açığını yamalar ve Rancher’ın sahip olduğu nesneleri etkileyen hata üzerinde azaltma önerileri sunar
GÜNCELLENMİŞ Açık kaynaklı bir Kubernetes yönetim aracı olan Rancher’ın şimdi yamalı bir sürümü, hassas değerleri düz metin olarak sakladı, bir çift yazılım geliştirici keşfetti.
Sömürü, saldırganların Rancher’a ait çeşitli Kubernetes nesnelerine ayrıcalıklı erişim elde etmelerini sağlayabilirdi.
2020 yılında Alman yazılım sağlayıcısı SUSE tarafından satın alınan Rancher, DevOps ve Kubernetes toplulukları arasında popüler.
En son bulut güvenliği haberlerini yakalayın
Platform, geliştiricilerin farklı sağlayıcılardan Kubernetes kapsayıcı kümelerini dağıtmasına ve çalıştırmasına olanak tanır. Ayrıca, yöneticilerin küme erişimini tek bir konumdan kontrol etmesine olanak tanıyan kimlik doğrulamasını ve rol tabanlı erişim kontrolünü kümelere merkezileştirerek değer katar.
Hata, Linux sistem mühendisi Marco Stuurman ve geliştirici Florian Struck tarafından bildirildi. Stuurman, Rancher’ın hizmet jetonlarını araştırırken kusura rastladı. Stuurman, “Güvenlik araştırmacısı değilim ama bu tür şeyler için gözlerimi dört açıyorum” dedi. Günlük Swig.
“Rancher kurulumlarımızdan birinden bilgi aldım ve jetondan şüphelendim. Daha önce benzer jetonlara baktım, bu yüzden dikkatimi çekti.”
‘Sorun düşük ayrıcalıklarda yatıyor’
Stuurman’ın bulgularına göre Rancher, şifreler, API anahtarları ve hesap belirteçleri gibi hassas alanları şifrelenmemiş düz metin olarak doğrudan Kubernetes nesnelerinde depoladı.
“Sırları düz metin olarak saklamak gerçekten de kötü bir uygulama ama bazen gerekli. Bu durumda, kümeye erişim anahtarı olduğu için sırrı hashlamayı seçemezsiniz,” dedi Stuurman. “Sorun, bu anahtara erişmek için gereken düşük ayrıcalıklarda yatıyor.”
Hata raporuna göre, düz metin verileri, Rancher’ın sahip olduğu belirli Kubernetes nesnelerine erişimi olan herkes tarafından kullanılabilir.
“Saldırgan, Rancher’ın yönettiği bir küme için yalnızca mümkün olan en az ayrıcalıklara ihtiyaç duyuyordu. Örneğin, izleme robotu kullanıcımızın tek ayrıcalığı, çiftçiden hedef kümede çalışan izleme örneğine HTTP isteklerini proxy yapmaktı, “dedi Stuurman.
Kümenizin korunması
Kümeleri sağlamak için kullanılan hizmet hesabı belirteci, en yüksek ayrıcalıklara sahip olduğundan özellikle önemlidir. Bu durumda, başka bir gelişmiş önleme önlemi yoksa, istismar saldırganların ayrıcalıklarını yükseltmesine ve kümeyi tamamen ele geçirmesine izin verebilir.
yapılan yorumlarda Günlük Swig, Rancher güvenlik ekibi, bu verileri Kubernetes’te gizli nesneler olarak saklamamanın, Rancher henüz erken geliştirme aşamasındayken alınan bazı mimari ve ölçeklendirme kararlarından kaynaklandığını söyledi. Platformun en son sürümünde incelendi ve ele alındı.
Güvenlik ekibi, “Sorunun düzeltilmesi, güvenlikle ilgili sorunlara ve iyileştirmelere odaklanmak için bir güvenlik mühendisi ve geliştiricilerden oluşan bir güvenlik ekibi oluşturmak gibi uygulamaya başladığımız iyileştirmelerin doğrudan bir sonucudur.” Dedi.
ÖNERİLEN #AttachMe Oracle bulut hatası, birimleri veri hırsızlığına ve ele geçirmeye maruz bıraktı
“Ayrıca, geliştirme sürecimizde daha fazla güvenlik odaklı araçlar sağlamanın yanı sıra yeni özellikleri yayınlamadan önce güvenlik mimarisi incelemeleri ve testleri yapmak için sürüm sürecimizi değiştirdik.”
Bu sorun, Rancher’ın en son sürümünde ele alınmıştır. Projenin sahipleri, Rancher hizmet hesabı belirteçlerini döndürmek için bir komut dosyası sağladı. Ayrıca yöneticilere Rancher örneklerine erişimi sınırlamalarını, alt kümelerini olası bir ihlal belirtileri için kontrol etmelerini ve sızdırılmış olabilecek kimlik bilgilerini değiştirmelerini tavsiye ettiler.
Stuurman, “Kümenizi korumanın en iyi yolu, küme yönetimi aracınızın erişimini güvendiğiniz kişilerle sınırlamaktır” dedi. “Ancak bu, mümkün olduğu kadar güvenli olmaması gerektiği anlamına gelmez.”
Bu makale 30 Eylül’de Rancher’ın yorumları ve düzeltmeleriyle güncellendi, özellikle sırlardan ziyade hassas değerlerin açığa çıktığı ve bu istismarın saldırganların Rancher’ın sahip olduğu nesnelere ayrıcalıklı erişim elde etmesine yol açabileceği gerçeğini yansıtacak şekilde güncellendi.
KAÇIRMAYIN Araştırmacılar, CI/CD sunucularının SCM web kancalarını kötüye kullanarak kolayca ihlal edildiğini buldu