Ben Dickson 28 Eylül 2022, 14:08 UTC
Güncelleme: 28 Eylül 2022, 14:15 UTC
Bakımcılar, güvenlik açığını düzeltir ve tüm Kubernetes nesnelerini etkileyen hata üzerinde azaltma önerileri sunar
Bir güvenlik araştırmacısı, açık kaynaklı bir Kubernetes yönetim aracı olan Rancher’ın şimdi yamalı bir sürümünün sırları düz metin olarak sakladığını keşfetti.
Sorun, çeşitli Kubernetes nesnelerini etkiledi ve saldırganların tüm kümeleri ele geçirmesine olanak sağlayabilir.
2020 yılında Alman yazılım sağlayıcısı SUSE tarafından satın alınan Rancher, DevOps ve Kubernetes toplulukları arasında popüler.
En son bulut güvenliği haberlerini yakalayın
Platform, geliştiricilerin farklı sağlayıcılardan Kubernetes kapsayıcı kümelerini dağıtmasına ve çalıştırmasına olanak tanır. Ayrıca, yöneticilerin küme erişimini tek bir konumdan kontrol etmesine olanak tanıyan kimlik doğrulamasını ve rol tabanlı erişim kontrolünü kümelere merkezileştirerek değer katar.
Son keşfi yapan Linux sistem mühendisi Marco Stuurman, Rancher’ın hizmet belirteçlerini araştırırken buna rastladı. Stuurman, “Güvenlik araştırmacısı değilim ama bu tür şeyler için gözlerimi dört açıyorum” dedi. Günlük Swig.
“Rancher kurulumlarımızdan birinden bilgi aldım ve jetondan şüphelendim. Daha önce benzer jetonlara baktım, bu yüzden dikkatimi çekti.”
‘Sorun düşük ayrıcalıklarda yatıyor’
Stuurman’ın bulgularına göre Rancher, şifreler, API anahtarları ve hesap belirteçleri gibi hassas alanları şifrelenmemiş düz metin olarak doğrudan Kubernetes nesnelerinde depoladı.
“Sırları düz metin olarak saklamak gerçekten de kötü bir uygulama ama bazen gerekli. Bu durumda, kümeye erişim anahtarı olduğu için sırrı hashlamayı seçemezsiniz,” dedi Stuurman. “Sorun, bu anahtara erişmek için gereken düşük ayrıcalıklarda yatıyor.”
Hata raporuna göre, düz metin verileri API aracılığıyla Kubernetes nesnelerine okuma erişimi olan herkes tarafından kullanılabilir.
“Saldırgan, Rancher’ın yönettiği bir küme için yalnızca mümkün olan en az ayrıcalıklara ihtiyaç duyuyordu. Örneğin, izleme robotu kullanıcımızın tek ayrıcalığı, çiftçiden hedef kümede çalışan izleme örneğine HTTP isteklerini proxy yapmaktı, “dedi Stuurman.
Kümenizin korunması
Tüm Kubernetes nesneleri etkilenir.
Kümeleri sağlamak için kullanılan hizmet hesabı belirteci, en yüksek ayrıcalıklara sahip olduğundan özellikle önemlidir. Bu durumda, başka bir gelişmiş önleme önlemi yoksa, istismar saldırganların ayrıcalıklarını yükseltmesine ve kümeyi tamamen ele geçirmesine izin verebilir.
Bu sorun, Rancher’ın en son sürümünde ele alınmıştır. Projenin sahipleri, Rancher hizmet hesabı belirteçlerini döndürmek için bir komut dosyası sağladı. Ayrıca yöneticilere Rancher örneklerine erişimi sınırlamalarını, alt kümelerini olası bir ihlal belirtileri için kontrol etmelerini ve sızdırılmış olabilecek kimlik bilgilerini değiştirmelerini tavsiye ettiler.
Stuurman, “Kümenizi korumanın en iyi yolu, küme yönetimi aracınızın erişimini güvendiğiniz kişilerle sınırlamaktır” dedi. “Ancak bu, mümkün olduğu kadar güvenli olmaması gerektiği anlamına gelmez.”
Günlük Swig Rancher’ın sahiplerini yorum yapmaya davet etti, ancak henüz haber alamadık. Bunu yaparsak, bu makaleyi buna göre güncelleyeceğiz.
KAÇIRMAYIN Araştırmacılar, CI/CD sunucularının SCM web kancalarını kötüye kullanarak kolayca ihlal edildiğini buldu