Importante agujero de seguridad encontrado en Kubernetes

Kubernetes se ha convertido en el sistema de orquestación de contenedores de nube más popular hasta la fecha, por lo que era sólo cuestión de tiempo hasta que se descubriera su primer gran agujero de seguridad. Y el error, CVE-2018-1002105, también conocido como el defecto de escalada del privilegio de los Kubernetes, es una maravilla. Es un agujero de seguridad crítico con una puntación CVSS de 9.8. Con una solicitud de red especialmente diseñada se puede utilizar el API para acceder a cualquier servidor del backend.

Kubernetes es un sistema Open Source que sirve para la automatizar el despliegue, ajustar las escalas y manejo de aplicaciones en contenedores en la nube.



Un ingeniero de Google, Jordan Liggitt, anunciaba las versiones v1.10.11, v1.11.5 y v1.12.3 de Kubernetes que han puesto a disposición de los usuarios para corregir el CVE-2018-1002105, una vulnerabilidad que permite la escalación de privilegios.

Vulnerabilidad Crítica

 

Un usuario malintencionado podría usar el servidor de API de Kubernetes para conectarse a un servidor de back-end para enviar solicitudes arbitrarias, autenticadas por las credenciales TLS del servidor de API.


El primer vector de ataque consiste en que una persona que posee los privilegios de la instancia "exec/attach/portforward" otorgados a un usuario normal de forma predeterminada puede convertirse en un administrador del clúster, obteniendo acceso a cualquier contenedor en el Pod (instancia) y potencialmente a cualquier información que contenga.

Segundo método permite que un usuario no autenticado acceder a la API para crear nuevos servicio que podrían usarse para inyectar código malicioso.

"Cualquier usuario no autenticado con acceso a un entorno Kubernetes puede llegar al punto final de descubrimiento que es el servidor API agregado (no el apiserver de Kube)", explicó Christopher Robinson, gerente de seguridad de productos de Red Hat, en un correo electrónico a The Register.
"La creación de un mensaje a la API para que falle la actualización puede dejar la conexión activa y permitir su reutilización con encabezados arbitrarios, y luego permitir el acceso de nivel de administrador de clúster a ese servidor de API agregado. Esto podría usarse contra el catálogo de servicios que permitiría la creación de instancias de servicio arbitrarias ".

Cualquier programa, que incluye Kubernetes, es vulnerable. Los distribuidores de Kubernetes ya 

están lanzando soluciones. Por ejemplo, Red Hat informa que "todos sus servicios y productos basados ​​en Kubernetes, incluyendo la plataforma de contenedores OpenShift de Red Hat, OpenShift en línea de Red Hat y OpenShift dedicado de Red Hat están afectados". Red Hat ha comenzado a lanzar los parches y actualizaciones de servicio a los usuarios afectados. Lo mismo ha hecho Azure AKS y Google Kubernetes Engine (GKE).

La vulnerabilidad es particularmente preocupante porque las solicitudes no autorizadas no se pueden detectar fácilmente. De acuerdo con Liggitt, no se muestran en los registros de auditoría del servidor Kubernetes API o en el registro del servidor.

Las solicitudes de los atacantes son visibles en los registros del servidor de la API agregada o kublet, pero no hay nada que las distinga de las solicitudes autorizadas y enviadas a través del servidor de la API de Kubernetes.


 PoC

• https://github.com/evict/poc_CVE-2018-1002105
• https://github.com/gravitational/cve-2018-1002105 

Fuentes:

https://tecnonucleous.com/2018/12/03/agujero-de-seguridad-importante-en-kubernetes/

https://blog.segu-info.com.ar/2018/12/vulnerabilidad-critica-en-kubernetes.html