Google Cloud heeft snel gereageerd op een middelzware beveiligingsfout in zijn platform die een risico zou kunnen vormen voor Kubernetes-clusters. De kwetsbaarheid, ontdekt en gerapporteerd door Palo Alto Networks Unit 42, kan worden misbruikt door een aanvaller die al toegang heeft tot een Kubernetes-cluster en zich specifiek richt op de Fluent Bit-logboekcontainer.
Als deze fout wordt misbruikt, kan de aanvaller zijn bevoegdheden binnen het cluster laten escaleren, wat kan leiden tot potentiële bedreigingen zoals gegevensdiefstal, het inzetten van kwaadaardige pods en het verstoren van clusteractiviteiten. Google Cloud heeft het probleem opgelost in de nieuwste versies van Google Kubernetes Engine (GKE) en Anthos Service Mesh (ASM), waardoor het risico dat aan dit beveiligingslek is verbonden wordt geëlimineerd.
Een aanvaller met toegang tot een gecompromitteerde Fluent Bit-logboekcontainer kan de bevoegdheden in het cluster hebben geëscaleerd
Google Cloud maakte de beveiligingsfout bekend in een advies uitgebracht op 14 december 2023, met details over het mogelijke exploitatiescenario. Volgens het advies kan een aanvaller die de Fluent Bit-logboekcontainer heeft gecompromitteerd, deze toegang gebruiken, samen met de hoge bevoegdheden die Anthos Service Mesh vereist (op ingeschakelde clusters) om zijn bevoegdheden binnen het Kubernetes-cluster te escaleren.
Dit zou de deur kunnen openen voor verschillende slechte activiteiten, waaronder niet alleen gegevensdiefstal, maar ook verstoringen van de normale activiteiten van het cluster. Er is momenteel geen bewijs dat een slechte acteur misbruik maakt van de fout in het wild. Naast het bieden van meer cloudopslag aan Workspace-gebruikers heeft Google Cloud echter proactieve maatregelen genomen om het probleem in de getroffen versies van Google Kubernetes Engine en Anthos Service Mesh te verhelpen.
De versies 1.25.16-gke.1020000, 1.26.10-gke.1235000, 1.27.7-gke.1293000, 1.28.4-gke.1083000 voor GKE, en 1.17.8-asm.8, 1.18.6-asm .2, 1.19.5-asm.4 voor ASM pakken het beveiligingsprobleem aan.
Google Cloud heeft de toegang van Fluent Bit tot serviceaccounttokens verwijderd en RBAC geëlimineerd, waarmee het beveiligingsprobleem wordt verholpen
Google Cloud legde uit dat de ontwikkelaars Fluent Bit op GKE hadden geconfigureerd om logboeken voor Cloud Run-workloads te verzamelen. Deze regeling verleende Fluent Bit-toegang tot Kubernetes-serviceaccounttokens voor andere pods op het knooppunt, zoals gerapporteerd door TheHackerNews. Het vormde een potentieel toegangspunt voor aanvallers.
Om het beveiligingslek aan te pakken heeft Google Cloud de toegang van Fluent Bit tot serviceaccounttokens verwijderd en het hulpprogramma van Anthos Service Mesh opnieuw ontworpen om buitensporige op rollen gebaseerde toegangscontrole (RBAC)-machtigingen te elimineren. De oplossing is bedoeld om de algehele beveiligingspositie van Kubernetes-clusters op Google Cloud te verbeteren door mogelijke scenario’s voor escalatie van bevoegdheden buiten beschouwing te laten.
