Bulut güvenlik firması Orca’dan araştırmacılar, Google Kubernetes Engine’deki önemli bir kimlik doğrulama parametresinin yaygın şekilde yanlış anlaşılmasının, kümeleri devralma riskiyle karşı karşıya bıraktığını keşfetti.
Orca Security, konuyla ilgili iki ayrıntılı teknik açıklamayı burada ve burada sundu.
Özet basit: ele geçirme işlemi “herhangi bir Google hesabına sahip bir saldırgan” tarafından istismar edilebilir.
“Sys:All adını verdiğimiz boşluk, Google Kubernetes Engine’deki (GKE) system:authenticated grubunun yalnızca doğrulanmış ve deterministik kimlikleri içerdiği, oysa gerçekte kimliği doğrulanmış herhangi bir Google hesabını (dışarıdaki hesaplar dahil) içerdiği yönündeki yaygın bir yanlış anlamadan kaynaklanıyor. organizasyon),” diye açıkladı Orca.
“Bu yanlış anlama, yöneticilerin farkında olmadan bu grubu aşırı hoşgörülü rollerle bağlaması durumunda önemli bir güvenlik açığı yaratıyor.”
Sys:All adı, birisinin kimlik doğrulama mekanizmasından yararlanabilmesi durumunda hedef kümeye kapsamlı erişim elde edeceğini gösterir.
Orca, “Bu yanlış yapılandırmalar, JWT jetonları, GCP API anahtarları, AWS anahtarları, Google OAuth kimlik bilgileri ve özel anahtarlar dahil olmak üzere çeşitli hassas veri türlerinin açığa çıkmasına yol açtı” diye yazdı.
Adı açıklanmayan “bu yanlış yapılandırmanın kapsamlı yetkisiz erişime yol açtığı ve potansiyel olarak sistem çapında güvenlik ihlallerine yol açtığı halka açık bir şirket” örneğini verdiler.
Google’ın yanıtı
Güvenlik açıkları system:authenticated group’un yanlış anlaşılmasından kaynaklansa da Google, GKE sürüm 1.28’de “kullanıcıların Kubernetes yerleşik kullanıcıları ile yetkilendirme hataları yapma” riskini azaltmak için (bu güvenlik bülteninde ayrıntılı olarak açıklanan) değişiklikler yaptı ve sistem:anonim, sistem:kimliği doğrulanmış ve sistem:kimliği doğrulanmamış” dahil olmak üzere gruplar.
Bu eylemler, yüksek ayrıcalıklı yönetici rolünün bu gruplara yeni bağlantılarının engellenmesini içerir.
Orca ayrıca bir Sys:All saldırısının neredeyse hiç iz bırakmadığını keşfetti; bu nedenle Google, politika denetleyicisine önleme kurallarının yanı sıra güvenlik komuta merkezine algılama kuralları ekledi.