Nedavno otkrivena ranjivost u Kubernetesu izazvala je značajnu zabrinutost unutar zajednice sajber sigurnosti. Akamai istraživač Tomer Peled identifikovao je propust u dizajnu Kubernetesovog sidecar projekta, git-sync, koji bi mogao omogućiti napadačima da izvrše napade ubrizgavanjem komande.
Ova ranjivost utiče na podrazumevane instalacije Kubernetesa na različitim platformama, uključujući Amazon EKS, Azure AKS i Google GKE. Biće predstavljen na DEF CON 2024.
Mana leži u git-sync projektu, sidecar kontejneru koji se koristi za sinhronizaciju Kubernetes pod sa Git repozitorijumom. Ovaj proces sinhronizacije, namijenjen automatizaciji ažuriranja, nenamjerno uvodi veliku površinu napada zbog nedostatka saniranja unosa.
Napadači to mogu iskoristiti primjenom zlonamjerne YAML datoteke na klaster, operacijom s niskim privilegijama, za izvršavanje proizvoljnih naredbi ili eksfiltriranje podataka iz pod-a.
Dva kritična parametra GITSYNC_GITi GITSYNC_PASSWORD_FILE, su posebno ranjiva. GITSYNC_GITomogućava pokretanje specifikacije naredbe, koja se može zamijeniti zlonamjernom binarnom za izvršavanje koda.
U međuvremenu, GITSYNC_PASSWORD_FILEnjime se može manipulisati da bi se eksfiltrirali osjetljive informacije, kao što su tokeni za pristup, iz pod.
Ranjivost može dovesti do ozbiljnih posljedica, uključujući neovlašteno izvršavanje naredbi i krađu podataka. Napadači sa minimalnim privilegijama mogli bi postaviti binarnu datoteku unutar modula, maskiranu kao git-sync, za izvršavanje naredbi pod krinkom legitimnih operacija. Ovo bi moglo zaobići sigurnosne mjere i olakšati prikrivene napade, kao što je postavljanje kriptomajnera.
Štaviše, napadači s privilegijama za uređivanje mogli bi preusmjeriti git-sync za slanje osjetljivih datoteka na vanjski server, potencijalno kompromitirajući cijeli Kubernetes klaster.
Uprkos ozbiljnosti greške, CVE nije dodijeljen, niti je objavljena zvanična zakrpa. Kubernetes tim je priznao problem , ali smatra da su potrebne operacije uređivanja visoko privilegovane, što ne garantuje hitnu sanaciju. Međutim, istraživanje naglašava potrebu za povećanom svjesnošću i praćenjem Kubernetes okruženja.
“Ovaj tok napada je posebno opasan u organizacijama koje imaju prethodno odobrenu git-sync komunikaciju u svom klasteru”, rekao je Tomer Peled .
Da bi se umanjili rizici, organizacijama se savjetuje da poboljšaju praćenje odlaznih komunikacija iz Kubernetes podova, posebno onih koji koriste git-sync. Preporučuju se redovne revizije git-sync podova kako bi se osiguralo da izvršavaju očekivane komande.
Osim toga, implementacija pravila Open Policy Agent (OPA) može pomoći u otkrivanju i blokiranju potencijalnih vektora napada identificiranjem neovlaštenih promjena u konfiguracijama git-sync.
Izvor: CyberSecurityNews
