Kubernetes zaiflik patchi samarasiz bo’lib chiqdi
Ishlab chiquvchilar tomonidan chiqarilgan yangilanish barcha hujum vektorlarini qamrab olmaydi.
O’tgan yili mashhur Kubernetes konteyner orkestratsiyasi tizimini ishlab chiquvchilar zararli konteynerlardan foydalangan holda o’zboshimchalik bilan fayllarni kiritishga imkon beruvchi katalog bo’ylab harakatlanish zaifligini (CVE-2018-1002100) tuzatuvchi yangilanishni chiqardilar. Biroq, yamoqni tahlil qilgandan so’ng, Twistlock tadqiqotchilari uning to’liq emasligini va barcha hujum vektorlarini hal qilmasligini aniqladilar. Yangi zaiflikka CVE-2019-1002101 identifikatori berildi. Ikkala muammo ham Kubernetesni boshqarish uchun kubectl buyruq satri interfeysi, xususan, fayllarni nusxalash uchun ishlatiladigan cp buyrug’i bilan bog’liq. Nusxalash jarayonida konteynerda ikkilik tar fayli yaratiladi, keyin u tarmoq orqali uzatiladi va foydalanuvchi qurilmasida kubectl tomonidan ochiladi.
Agar tajovuzkor zararli tar faylini konteynerga joylashtirishga muvaffaq bo’lsa, ular zaifliklardan foydalanishi, tizimning istalgan joyiga ixtiyoriy fayllarni kiritishi va maxfiy ma’lumotlarni o’g’irlashi mumkin. Bundan tashqari, zaiflik kubectl ishlayotgan imtiyozlarga qarab, kodni ixtiyoriy ravishda bajarishga imkon beradi. Masalan, agar interfeys root imtiyozlari bilan ishlayotgan bo’lsa, tajovuzkor tizim yuklanishida bajariladigan tizim fayllarining konfiguratsiyasini o’zgartirishi mumkin.
Специалисты описали несколько возможных методов атаки: 1) пользователь неосознанно загружает образ контейнера с вредоносным tar файлом, а атакующий может поместить образ в любую подконтрольную ему директорию (например, Docker Hub); 2) атакующий компрометирует запущенный контейнер (проэксплуатировав другую уязвимость либо при наличии легитимного доступа) и заменяет оригинальный tar файл вредоносным.
Ishlab chiquvchilar allaqachon Kubernetes 1.11.9, 1.12.7, 1.13.5 va 1.14.0 versiyalarini chiqarish bilan bog’liq muammoni hal qilishdi.
