Bezpečnostní chyba umožňuje útočníkům narušit klastry Kubernetes

Kubernetes Clusters security bug

Chyba zabezpečení se aktivuje, když cloudový kontejner vytáhne škodlivý obraz z registru.

Chyba zabezpečení v jedné z knihoven Go, na které je Kubernetes založen, by mohla vést k odmítnutí služby (DoS) pro kontejnerové stroje CRI-O a Podman.

Chyba (CVE-2021-20291) ovlivňuje knihovnu Go nazvanou „containers/storage“. Podle Aviva Sassona, bezpečnostního výzkumníka týmu Palo Alto Unit 42, který chybu objevil, ji lze vyvolat umístěním škodlivého obrazu do registru; podmínka DoS je vytvořena, když je tento obraz stažen z registru nic netušícím uživatelem.

“Prostřednictvím této chyby zabezpečení mohou hackeři ohrozit jakoukoli kontejnerovou infrastrukturu, která spoléhá na tyto zranitelné kontejnerové stroje, včetně Kubernetes a OpenShift,” uvedl Sasson.

CRI-O a Podman jsou image kontejnerů, podobné Dockeru, které se používají k provádění akcí a správě kontejnerů v cloudu. Containers/storage knihovnu používají CRI-O a Podman ke zpracování úložiště a stahování obrazů kontejnerů.

Když je zranitelnost spuštěna, CRI-O se nepodaří stáhnout nové obrazy, spustit jakékoli nové kontejnery (i když jsou již stažené), načíst seznamy místních obrazů nebo zabít kontejnery.

Podman mezitím nedokáže vytáhnout nové obrazy, načíst běžící, spustit nové kontejnery (i když jsou již stažené), spustit do kontejnerů, načíst stávající obrazy nebo zabít existující kontejnery, řekl.

Dopad by mohl být docela široký: „Od verze Kubernetes v1.20 je Docker zastaralý a podporovány jsou pouze kontejnerové stroje CRI-O a Containerd,“ vysvětlil Sasson. “To vede k situaci, kdy mnoho klastrů používá CRI-O a jsou zranitelné. Ve scénáři útoku může protivník vytáhnout škodlivý obraz do několika různých uzlů, všechny zhroutí a rozbije cluster, aniž by zanechal způsob, jak problém vyřešit, kromě restartování uzlů.“

Zdroj: threatpost.com

@RadekVyskovsky

Napsat komentář