Cybersecurity-onderzoekers hebben een maas in de wet ontdekt die van invloed is op Google Kubernetes Engine (GKE) en die mogelijk kan worden uitgebuit door bedreigingsactoren met een Google-account om de controle over een Kubernetes-cluster over te nemen.
De kritieke tekortkoming heeft de codenaam gekregen Sys: Allemaal door cloudbeveiligingsbedrijf Orca. Er wordt geschat dat maar liefst 250.000 actieve GKE-clusters in het wild vatbaar zijn voor de aanvalsvector.
In een rapport gedeeld met The Hacker News zei beveiligingsonderzoeker Ofir Yakobi dat het “voortkomt uit een waarschijnlijk wijdverbreide misvatting dat de system:authenticated-groep in Google Kubernetes Engine alleen geverifieerde en deterministische identiteiten omvat, terwijl het in feite elk door Google geverifieerd account omvat ( zelfs buiten de organisatie).”
De system:authenticated groep is een speciale groep die alle geauthenticeerde entiteiten omvat, waarbij menselijke gebruikers en serviceaccounts worden geteld. Als gevolg hiervan zou dit ernstige gevolgen kunnen hebben wanneer beheerders er onbedoeld al te toegeeflijke rollen aan toekennen.
Concreet zou een externe bedreigingsacteur die in het bezit is van een Google-account deze verkeerde configuratie kunnen misbruiken door zijn eigen Google OAuth 2.0-dragertoken te gebruiken om de controle over het cluster over te nemen voor vervolgexploitatie, zoals laterale verplaatsing, cryptomining, denial-of-service en diefstal van gevoelige gegevens.
Tot overmaat van ramp laat deze aanpak geen sporen achter op een manier die kan worden teruggekoppeld naar het daadwerkelijke Gmail- of Google Workspace-account dat de OAuth-bearertoken heeft verkregen.
Er is vastgesteld dat Sys:All een impact heeft op tal van organisaties, wat heeft geleid tot de blootstelling van verschillende gevoelige gegevens, zoals JWT-tokens, GCP API-sleutels, AWS-sleutels, Google OAuth-inloggegevens, privésleutels en inloggegevens aan containerregisters, waarvan de laatste mogelijk vervolgens worden gebruikt om containerimages te trojaniseren.
Na verantwoorde openbaarmaking aan Google heeft het bedrijf stappen ondernomen om de binding van de system:authenticated-groep aan de rol clusterbeheerder in GKE-versies 1.28 en hoger te blokkeren.
“Om uw clusters te beveiligen tegen massale malware-aanvallen die misbruik maken van onjuiste configuraties van toegang tot clusterbeheerders, kunt u met GKE-clusters met versie 1.28 en hoger niet de clusterbeheerder ClusterRole binden aan het systeem: anonieme gebruiker of aan het systeem: niet-geverifieerd of system:authenticated groups”, merkt Google nu op in zijn documentatie.
Google raadt gebruikers ook aan om de system:authenticated-groep niet aan RBAC-rollen te binden, en te beoordelen of de clusters aan de groep zijn gebonden met behulp van zowel ClusterRoleBindings als RoleBindings, en om onveilige bindingen te verwijderen.
Orca heeft ook gewaarschuwd dat, hoewel er geen openbare gegevens zijn over een grootschalige aanval waarbij deze methode wordt gebruikt, dit slechts een kwestie van tijd zou kunnen zijn, waardoor gebruikers passende maatregelen zouden moeten nemen om hun clustertoegangscontroles te beveiligen.
“Ook al is dit een verbetering, het is belangrijk op te merken dat er nog steeds veel andere rollen en machtigingen overblijven die aan de groep kunnen worden toegewezen”, aldus het bedrijf.
