Google: Problema MAJORA Confirmata de Compania Americana

Google a demonstrat recent angajamentul său față de securitatea în cloud prin remedierea rapidă a unei vulnerabilități critice în cadrul Kubernetes. Descoperită inițial de Unit 42, divizia de securitate cibernetică a Palo Alto Networks, această vulnerabilitate ar fi putut permite actorilor rău-intenționați, care au acces la un cluster Kubernetes, să-și sporească privilegiile și să provoace daune semnificative.

Vulnerabilitatea identificată se concentra pe containerul de jurnalizare Fluent Bit și pe Anthos Service Mesh, o componentă adesea activată în clustere. Potrivit unui comunicat oficial Google, „un atacator care compromite containerul Fluent Bit poate combina acest acces cu privilegiile înalte necesare de Anthos Service Mesh (în clusterele care l-au activat) pentru a escalada privilegiile în cadrul clusterului.”

Importanța acestei descoperiri rezidă în potențialul de a afecta sever operațiunile unui cluster Kubernetes. Un atacator cu un container Fluent Bit compromis ar putea utiliza tokenul de cont al serviciului Anthos Service Mesh pentru a crea un nou pod cu privilegii de administrator al clusterului. Acest lucru i-ar permite să obțină controlul total asupra clusterului.

Google: Problema MAJORA Confirmata de Compania Americana

Google Cloud a subliniat că aceste vulnerabilități nu sunt exploatabile de sine stătător în Google Kubernetes Engine (GKE) și necesită o compromitere inițială. De asemenea, compania a afirmat că nu există dovezi că aceste vulnerabilități au fost exploatate „în sălbăticie”.

Pentru a contracara această amenințare, Google a implementat remedieri în Fluent Bit și Anthos Service Mesh. Fluent Bit pe GKE, utilizat pentru procesarea jurnalelor pentru sarcini de lucru executate pe clustere, a fost configurat inițial să colecteze jurnale și pentru sarcinile de lucru Cloud Run. Această configurație a permis Fluent Bit accesul la tokenurile conturilor de serviciu Kubernetes pentru alte Pod-uri care rulează pe nod.

Shaul Ben Hai, un cercetător în securitate, a evidențiat rolul crucial al contului de serviciu „clusterrole-aggregation-controller” (CRAC), care poate adăuga permisiuni arbitrare rolurilor de cluster existente. Actualizând rolul de cluster legat de CRAC pentru a poseda toate privilegiile, un atacator ar putea prelua controlul complet asupra clusterului.

Această situație subliniază importanța securității în medii cloud și necesitatea unei monitorizări și actualizări continue pentru a contracara amenințările cibernetice emergente. Prin răspunsul său prompt și eficient, Google Cloud demonstrează angajamentul său de a oferi un mediu sigur și protejat pentru clienții săi.