Google Kubernetes Engine (GKE) содержал уязвимость, которая могла позволить любому, у кого есть учетная запись Gmail, получить контроль над кластером Kubernetes.
Исследователи кибербезопасности из Orca опубликовали эту новость, назвав уязвимость Sys:All и заявив, что существует четверть миллиона активных кластеров GKE, которые могут быть уязвимы для этой уязвимости.
Проблема заключается в том, что многие люди ошибочно верят системе: аутентифицированная группа в Google Kubernetes Engine содержит только аутентифицированные и детерминированные личности, рассказал мне исследователь Офир Якоби. Хакерские новости. На самом деле подойдет любая подтвержденная учетная запись Google. Исправление ошибки
Как поясняется в отчете, группа system:authenticated включает в себя аутентифицированные объекты, людей и учетные записи служб. Это означает, что злоумышленник может использовать токен носителя Google OAuth 2.0 и получить контроль над кластером. Этот контроль затем можно использовать для развертывания всех видов вредоносного ПО, перемещения по сети или кражи конфиденциальных данных с конечных точек.
Более того, организация-жертва не сможет отследить атаку до конкретной учетной записи Gmail или Google Workspace. Газета Hacker News сообщает, что выводы могут затронуть «многочисленные организации», а некоторые типы конфиденциальных данных могут оказаться под угрозой. Сюда входят токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и учетные данные реестра контейнеров.
Вскоре после появления этой новости Google предпринял шаги, чтобы заблокировать привязку группы system:authenticated к роли администратора кластера в GKE. Эти шаги применяются в версиях 1.28 и более поздних версиях.
«Чтобы защитить ваши кластеры от массовых атак вредоносных программ, использующих неправильные настройки доступа к менеджерам кластеров, кластеры GKE под управлением версии 1.28 и более поздних версий не позволяют привязывать менеджер кластера ClusterRole к системе: анонимный пользователь или к системе: непроверенный или система: аутентифицированные группы», — говорится в сообщении облачного гиганта. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с машинным переводом с английского : https://nybreaking.com/category/tech/
