Google Cloud heeft een middelzware beveiligingsfout in zijn platform aangepakt die kan worden misbruikt door een aanvaller die al toegang heeft tot een Kubernetes-cluster om zijn rechten te escaleren.
“Een aanvaller die de Fluent Bit-logboekcontainer heeft gecompromitteerd, zou die toegang kunnen combineren met hoge rechten die vereist zijn door Anthos Service Mesh (op clusters die dit hebben ingeschakeld) om de rechten in het cluster te escaleren”, zei het bedrijf als onderdeel van een advies dat in december werd uitgebracht. 14, 2023.
Palo Alto Networks Unit 42, die de tekortkoming ontdekte en rapporteerde, zei dat tegenstanders het zouden kunnen bewapenen om “gegevensdiefstal uit te voeren, kwaadaardige pods in te zetten en de activiteiten van het cluster te verstoren.”
Er is geen bewijs dat het probleem in het wild is uitgebuit. Het probleem is verholpen in de volgende versies van Google Kubernetes Engine (GKE) en Anthos Service Mesh (ASM) –
- 1.25.16-gke.1020000
- 1.26.10-gke.1235000
- 1.27.7-gke.1293000
- 1.28.4-gke.1083000
- 1.17.8-asm.8
- 1.18.6-asm.2
- 1.19.5-asm.4
Een belangrijke voorwaarde voor het succesvol misbruiken van de kwetsbaarheid hangt af van het feit dat een aanvaller een FluentBit-container al heeft gecompromitteerd via een andere initiële toegangsmethode, bijvoorbeeld via een fout bij het uitvoeren van code op afstand.
“GKE gebruikt Fluent Bit om logs te verwerken voor workloads die op clusters draaien”, legt Google uit. “Fluent Bit op GKE was ook geconfigureerd om logs te verzamelen voor Cloud Run-workloads. De volumemount die was geconfigureerd om die logs te verzamelen, gaf Fluent Bit toegang tot Kubernetes-serviceaccounttokens voor andere Pods die op het knooppunt draaiden.”
Dit betekende dat een bedreigingsacteur deze toegang kon gebruiken om geprivilegieerde toegang te krijgen tot een Kubernetes-cluster waarvoor ASM is ingeschakeld en vervolgens het serviceaccounttoken van ASM kon gebruiken om zijn bevoegdheden te escaleren door een nieuwe pod met clusterbeheerdersrechten te maken.
“Het clusterrole-aggregation-controller (CRAC) serviceaccount is waarschijnlijk de belangrijkste kandidaat, omdat het willekeurige machtigingen kan toevoegen aan bestaande clusterrollen”, zegt beveiligingsonderzoeker Shaul Ben Hai. “De aanvaller kan de clusterrol die aan CRAC is gekoppeld, bijwerken zodat hij over alle rechten beschikt.”
Als oplossing heeft Google de toegang van Fluent Bit tot de serviceaccounttokens verwijderd en de functionaliteit van ASM opnieuw ontworpen om buitensporige op rollen gebaseerde toegangscontrole (RBAC) -machtigingen te verwijderen.
“Cloudleveranciers maken automatisch systeempods wanneer uw cluster wordt gelanceerd”, concludeerde Ben Hai. “Ze zijn ingebouwd in uw Kubernetes-infrastructuur, net als add-on-pods die worden gemaakt wanneer u een functie inschakelt.”
“Dit komt omdat cloud- of applicatieleveranciers deze doorgaans creëren en beheren, en de gebruiker geen controle heeft over hun configuratie of rechten. Dit kan ook extreem riskant zijn omdat deze pods met verhoogde rechten werken.”
