Участники проекта Kubernetes устранили серьезную уязвимость в продукте с открытым исходным кодом, предназначенном для управления программными контейнерами. Брешь CVE-2018-1002105 позволяла злоумышленнику повысить привилегии, чтобы получить доступ к бэкенд-серверу приложений, выполнить сторонний код и прочитать закрытые данные.

ПО Kubernetes применяется для оркестровки Linux-контейнеров и включено в продукты таких компаний, как Red Hat, IBM, CoreOS и Oracle. Администраторы используют ее, чтобы управлять приложениями и объединять сотни и тысячи простых сервисов в комплексные механизмы.

Проблема CVE-2018-1002105 исправлена в следующих релизах Kubernetes:

  • 1.10.11,
  • 1.11.5,
  • 1.12.3,
  • 1.13.0-rc.1.

Эксперты оценили ее в 9,8 балла по шкале CVSS, поскольку брешь не требует предварительной аутентификации и проста в эксплуатации. Ситуацию осложняет тот факт, что активность злоумышленников не оставляет следов в логах атакованного сервера — вредоносные запросы оказываются неотличимы от легитимных.

Несанкционированный доступ открывается после отправки специфического запроса к API-серверу Kubernetes. Сервер API — это ключевой компонент подсистемы управления, обеспечивающий внешний и внутренний доступ к функциям Kubernetes. Именно через него организован обмен данных с агентами, которые контролируют узлы в кластерах программных контейнеров.

Уязвимые сборки Kubernetes некорректно обрабатывают вредоносный запрос, позволяя обратиться к бэкенду с использованием учетных данных TLS, прописанных в настройках API-сервера.

По словам авторов патча, взломщик с правами пользователя сможет повысить свои привилегии до уровня администратора кластера и прочитать данные любых контейнеров в связанных с ним узлах. Злоумышленник также может запустить в уязвимой среде сторонние сервисы и внедрить вредоносный код.

Если установить обновления невозможно, администраторам рекомендуют ограничить использование API-серверов вплоть до их полного отключения как для анонимных, так и для авторизованных пользователей.

В 2017 году эксперты обнаружили уязвимость Kubernetes, которая позволяла добывать криптовалюту в виртуализированном IT-окружении. Преступники воспользовались брешью для атак на страховую компанию Aviva и Gemalto —производителя SIM-карт и защищенного оборудования.

Категории: Кибероборона, Уязвимости