Eerste grote beveiligingslek treft Kubernetes
Het meest gebruikt van allemaal, en vooralsnog zonder enige problematiek: Kubernetes. Maar nu is het dan toch mis, want ook het meest populaire cloudcontainersysteem is vatbaar gebleken voor bugs, nu de eerste ‘privilege esacalation flaw‘ is ontdekt. Op zichzelf niet verrassend voor zo´n populair systeem, maar de impact is gelijk op zijn minst aanzienlijk.
De fout, op GitHub vermeld onder CVE-2018-1002105, scoort bij de CVSS een 9.8 en kan dus zeker worden aangeduid als ‘kritiek’. Met de bug kan iedereen via een netwerkverzoek een verbinding met een Kubernetes API-server (application programming interface) maken. Zodra deze verbinding is gelegd, kan eenieder die kwaad wil uiteenlopende verzoeken via de netwerkverbinding rechtstreeks naar de back-end sturen. Om het allemaal af te toppen, zijn deze verzoeken ook nog eens geverifieerd met TLS-credentials (Transport Layer Security).
Beheerdersrechten
Volgens Red Hat maakt deze “privilege-escalatiefout het mogelijk voor iedere gebruiker om volle beheerdersrechten te krijgen voor ieder computerknooppunt wat in een Kubernetes-pod wordt uitgevoerd”. Dit is een groot probleem, aldus de softwareleverancier, want “zo kan er niet alleen gevoelige data worden gestolen of malafide code worden geïnjecteerd, maar er is ook kans dat productie-applicaties en -services worden beïnvloed van binnen de firewall van een organisatie", schrijft ZDnet op uit de blogmelding van Red Hat.
Vooralsnog zijn er geen meldingen gedaan van het daadwerkelijk uitbuiten van dit beveiligingslek in Kubernetes, maar daar staat tegenover dat het daadwerkelijk uitbuiten van dit zwakke punt vrijwel geen sporen in de logs zou achterlaten. “Er is geen eenvoudige manier om te ontdekken of dit beveiligingslek is gebruikt", stelt Red Hat
Doordat de hierdoor mogelijek ongeautoriseerde verzoeken worden gedaan via een bestaande verbinding, verschijnen ze niet in de Kubernetes API-server audit logs of serverlogs. "De aanvragen verschijnen wel in de kubelet- of geaggregeerde API-serverlogboeken, maar zijn niet te onderscheiden van correct geautoriseerde en proxiede verzoeken via de Kubernetes API-server."
Patches
Inmiddels zijn de problemen te verhelpen door updates van Kubernetes te installeren. Deze zijn na bekendmaking van het probleem uitgebracht. Het gaat hierbij om v1.10.11, v1.11.5, v1.12.3, and v1.13.0-rc.1.
De services van Red Hat die op Kubernetes zijn gebaseerd, waaronder Red Hat OpenShift Container Platform, Red Hat OpenShift Online en Red Hat OpenShift Dedicated, worden door het probleem getroffen. Red Hat is druk doende de getroffen gebruikers te voorzien van patches en updates.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee