维护者补丁脆弱性,并提供有关影响所有kubernetes对象的错误的缓解建议
现在是Rancher的版本开源安全研究人员发现,Kubernetes管理工具是在纯文本中存储的秘密。
该问题影响了各种Kubernetes对象,并可以使攻击者接管整个集群。
牧场主在2020年被德国软件提供商Suse收购,在其中很受欢迎DevOps和Kubernetes社区。
该平台允许开发人员部署和运行来自不同提供商的Kubernetes容器集群。它还通过集中身份验证和基于角色的验证来增加价值访问控制到群集,这允许管理员从一个位置控制群集访问。
Linux系统工程师Marco Stuurman(最近发现)偶然发现了Rancher的服务令牌。斯图尔曼告诉每日swbeplay2018官网ig。
“我从我们的一个牧场主设置中获取了信息,并对代币感到怀疑。我有调查类似的令牌以前,这引起了我的注意。”
“问题在于低特权”
根据Stuurman的发现,Rancher在Kubernetes对象上直接将密码,API键和帐户令牌等敏感字段库存。
“以明文存储秘密确实是不好的做法,但有时需要。在这种情况下,您不能选择哈希秘密,因为这是群集的访问密钥。” Stuurman说。“问题在于访问此键所需的低特权。”
根据错误报告,通过API读取访问Kubernetes对象的任何人都可以使用明文数据。
“攻击者只需要对群集牧场主管理的最小特权。例如,我们的监视机器人用户唯一的特权是从牧场主代理HTTP请求到目标群集中运行的监视实例。” Stuurman说。
保护您的群集
所有kubernetes对象都受到影响。
用于提供群集的服务帐户令牌特别重要,因为它具有最高的特权。在这种情况下,如果没有任何其他高级预防措施,则攻击者可以允许攻击者升级其特权并完全接管集群。
该问题已在最新版本的Rancher中解决。该项目的维护者提供了一个脚本来旋转牧场主服务帐户令牌。他们还建议管理员限制对牧场主实例的访问,检查其下游集群是否有违规迹象,并更改证书那可能已经泄漏了。
Stuurman说:“保护群集的最佳方法是将群集管理工具访问限制在您信任的人身上。”“但是,这并不意味着它不应该尽可能安全。”
每日swbeplay2018官网ig邀请牧场主的维护者发表评论,但我们尚未回音。如果这样做,我们将相应地更新本文。
