恶作剧者可能会“破坏其他租户的可用性,正直和机密性”
一个关键的脆弱性Flux2,Kubernetes的连续交付(CD)工具可以使用相同的外部基础架构使多租赁部署的流氓租户能够破坏“邻居”。
磁通是一种开放且可扩展的CD解决方案,可将Kubernetes簇与配置源保持同步,并由Maersk,Volvo,SAP,Deutsche Telekom和Grafana Labs使用。
作为该工具的版本2,Flux2引入了多租赁支持等功能。
Kubeconfig验证不当
现在已经修补了,远程代码执行(RCE)漏洞是通过对kubeconfig文件的不当验证而产生的,kubeconfig文件“可以定义要执行以生成按需的身份验证令牌”的命令”。安全咨询发布于周二(5月17日)上的Github。
“ Flux2在提供具有正确访问权限的KubeConfig文件时可以调和远程群集的状态。”
有关的DevSecops和网络安全技能是Enterprise IT的首要任务 - 报告
Paulo Gomes,Weaveworks的高级软件工程师,云机构计算基金会(CNCF)成员公司,该公司发起了Gitops,并为Flux和Kubernetes提供了支持,详细说明:“ Flux可以同步在GIT存储库中定义的声明的状态,该状态与该集群中的集群同步,已安装,这是最常用的方法。或者它可以针对远程集群。”他告诉每日swbeplay2018官网ig。
“针对远程簇所需的访问在很大程度上取决于预期的范围。这是完全灵活的,并且依赖于Kubernetes的rbac具有广泛的粒度(从单个资源到整个集群)。”
根据咨询的说法,结果是“具有写入通量源或直接访问目标群集的恶意用户可以制作kubeconfig来在控制器容器内执行任意代码”。
CVSS差异
在单租户云部署中,脆弱性的危险要小得多,在旧的云部署中,它仅在较旧的情况下得分6.8。CVSS V2评级系统,使错误中等严重性。
戈麦斯说:“原因是,攻击者将需要通过利用它获得几乎相同的特权。”
但是,根据最新的CVSS版本,该漏洞的评分为9.9v3.1,因为它引入了围绕“范围”的变化的指标,并且 - 首先描述“更改”范围指标- “漏洞会影响易受伤害组件安全当局管理的安全范围之外的资源”。
这是因为攻击者还可以在多租户环境中实现对集群管理员的特权升级,前提是控制器的服务帐户的权限提高。
戈麦斯说:“在更糟糕的情况下,流氓租户可能会破坏其他租户的可用性,诚信和保密性。”“影响取决于集群和租户如何配置。
“从理论上讲,流氓租户可以将应用程序部署到其他租户的集群中。但是,其他安全控制措施(即录取控制者,OPA等)可能会降低影响。”
补丁和解决方法
Flux2版本V0.29.0和Kubernetes运算符中固定了这种脆弱性,该漏洞是由Flux的维护者发现的。kustomize-controller(在v0.23.0中修补)和舵机控制器(v0.19.0)。
“从固定版本开始,两个控制器默认情况下禁用了kubeconfig文件执行命令执行- Insecure-KubeConfig-Exec对于控制器的命令论点,”咨询解释说。
“不再允许用户在为远程应用功能提供的KubeConfig文件中的控制器文件系统中引用文件。”
代替应用更新,用户可以通过验证Admission Webhook(例如OPA Gatekeeper或Kyverno)来保护自己。beplay体育能用吗
他们还可以在控制器的吊舱上应用限制性的Apparmor和Selinux配置文件,以限制可以执行哪些二进制文件。
