Google Cloud, Kubernetes Hizmetini Etkileyen Ayrıcalık Yükseltme Kusurunu Çözdü

Google Cloud, platformunda, ayrıcalıklarını yükseltmek için zaten bir Kubernetes kümesine erişimi olan bir saldırgan tarafından kötüye kullanılabilecek orta önemde bir güvenlik açığını ele aldı.

Şirket, 14 Aralık 2023'te yayınlanan bir danışma belgesinin parçası olarak, "Fluent Bit günlük kaydı kapsayıcısını tehlikeye atan bir saldırgan, kümedeki ayrıcalıkları yükseltmek için bu erişimi Anthos Service Mesh'in (etkinleştiren kümelerde) gerektirdiği yüksek ayrıcalıklarla birleştirebilir" dedi.

Eksikliği keşfeden ve bildiren Palo Alto Networks Unit 42, düşmanların "veri hırsızlığı" yapmak, kötü amaçlı bölmeler dağıtmak ve kümenin operasyonlarını bozmak için onu silahlandırabileceğini söyledi.

Sorunun vahşi doğada istismar edildiğine dair bir kanıt yok. Google Kubernetes Engine (GKE) ve Anthos Service Mesh'in (ASM) aşağıdaki sürümlerinde bu sorun giderilmiştir:

1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000

1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4

Güvenlik açığından başarılı bir şekilde yararlanmanın temel ön koşulu, bir saldırganın uzaktan kod yürütme kusuru gibi diğer bazı ilk erişim yöntemleriyle bir FluentBit kapsayıcısının güvenliğini zaten aşmış olmasına bağlıdır.

Google, "GKE, kümelerde çalışan iş yüklerinin günlüklerini işlemek için Fluent Bit'i kullanıyor" diye açıkladı. "GKE'deki Fluent Bit, Cloud Run iş yükleri için günlükleri toplayacak şekilde de yapılandırıldı. Bu günlükleri toplamak için yapılandırılan birim bağlaması, Fluent Bit'e düğümde çalışan diğer Pod'lar için Kubernetes hizmet hesabı belirteçlerine erişim sağladı."

Bu, bir tehdit aktörünün ASM'nin etkinleştirildiği bir Kubernetes kümesine ayrıcalıklı erişim elde etmek için bu erişimi kullanabileceği ve ardından küme yöneticisi ayrıcalıklarına sahip yeni bir pod oluşturarak ayrıcalıklarını yükseltmek için ASM'nin hizmet hesabı belirtecini kullanabileceği anlamına geliyordu.

Güvenlik araştırmacısı Shaul Ben Hai, "clusterrole-aggregation-controller (CRAC) hizmet hesabı, mevcut küme rollerine rastgele izinler ekleyebildiği için muhtemelen önde gelen adaydır" dedi. "Saldırgan, tüm ayrıcalıklara sahip olmak için CRAC'ye bağlı küme rolünü güncelleştirebilir."

Düzeltmeler yoluyla Google, Fluent Bit'in hizmet hesabı belirteçlerine erişimini kaldırdı ve aşırı rol tabanlı erişim denetimi (RBAC) izinlerini kaldırmak için ASM'nin işlevselliğini yeniden tasarladı.

Ben Hai, "Bulut satıcıları, kümeniz başlatıldığında otomatik olarak sistem bölmeleri oluşturur" diyerek sözlerini sonlandırdı. "Bunlar, bir özelliği etkinleştirdiğinizde oluşturulan eklenti podlarıyla aynı şekilde Kubernetes altyapınızda oluşturulmuştur."

"Bunun nedeni, bulut veya uygulama satıcılarının genellikle bunları oluşturması ve yönetmesi ve kullanıcının yapılandırmaları veya izinleri üzerinde hiçbir kontrolü olmamasıdır. Bu bölmeler yükseltilmiş ayrıcalıklarla çalıştığı için bu da son derece riskli olabilir."