Kubernetes项目今天修补了一个危险的安全漏洞,可能允许攻击者可以在主机上运行代码的聪明黑客攻击。
该漏洞不会影响Kubernetes系统本身,而是影响kubectl(Kube控件),这是用于处理Kubernetes安装的官方命令行实用程序。
安全研究人员在kubectl cp(复制)操作中发现了一个安全漏洞,用于将文件从容器传输到用户的主机。
黑客可以通过“复制”操作执行代码
“为了从容器中复制文件,Kubernetes 在容器内运行tar以创建tar存档,通过网络复制它,kubectl将其解压缩到用户的机器上,” Kubernetes产品安全委员会成员Joel Smith说。
“如果容器中的tar二进制文件是恶意的,它可以运行任何代码并输出意外的恶意结果。当调用kubectl cp时,攻击者可以使用它将文件写入用户计算机上的任何路径,仅受系统权限的限制当地用户,“他说。
利用这个漏洞并不简单,因为攻击者需要首先将恶意文件放在Kubernetes容器中,然后等待Kubernetes管理员将这些文件传输到他的系统。
恶意文件会自动执行; 然而,这次袭击还依赖于运气和一点社会工程。
主机黑客可能会导致完全妥协
尽管如此,StackRox联合创始人兼产品副总裁Wei Lien Dang认为这个漏洞非常危险。
“此漏洞令人担忧,因为它会允许攻击者覆盖敏感文件路径或添加恶意程序文件,然后利用这些文件来破坏Kubernetes环境的重要部分,”Wei 在上周的一封电子邮件中告诉ZDNet。
“这种类型的漏洞利用了客户端漏洞如何被用来潜在地破坏生产环境,特别是因为我们观察到并不总是遵循减轻这种威胁载体的最佳实践。
“例如,用户可能正在生产节点上运行kubectl,或者没有适当的基于角色的访问控制来限制对整个集群的访问,或者使用提升的本地系统权限,”Wei补充道。
“此外,修复程序,即升级到最新版本的kubectl,可能更难执行,因为它依赖于个人用户这样做,”StackRox执行官说。
漏洞现在修补了两次
该漏洞被追踪为CVE-2019-11246,由Atredis Partners的Charles Holmes发现,并被发现是由Cloud Native Computing Foundation赞助的安全审计的一部分。
“这个漏洞源于之前披露的漏洞(CVE-2019-1002101)的不完整修复,”Wei说,指出今年3月的漏洞首次修复。
“此漏洞的详细信息与CVE-2019-1002101非常相似。该问题的原始修复程序不完整,并且发现了一种新的漏洞利用方法,”Smith说。
建议运行自己的Kubernetes安装的公司和开发人员将kubectl和Kubernetes升级到版本1.12.9,1.13.6或1.14.2或更高版本。
运行kubectl版本--client,如果它没有说客户端版本1.12.9,1.13.3或1.14.2或更新版本,则运行易受攻击的版本。
GOOGLE CLOUD K8S也很脆弱
在今天发布的安全公告中,Google Cloud管理员表示“所有Google Kubernetes Engine(GKE)gcloud版本都受此漏洞影响,我们建议您在gcloud可用时升级到最新的补丁版本。”
目前,这个补丁还没有出来。
“即将推出的补丁版本将包括缓解此漏洞,”谷歌表示。建议Google云端客户密切关注与kubectl相关的安全修复程序的工具更新日志。
