Бесплатно Экспресс-аудит сайта:

26.01.2024

Sys:All – захват кластера Kubernetes через аккаунт Google

ИБ-компания Orca Security обнаружила уязвимость в Google Kubernetes Engine ( GKE ), которая позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.

Согласно отчету Orca Security, проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Группа system:authenticated — это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google. Проблема может иметь серьезные последствия, поскольку администраторы могут ненароком предоставить этой группе излишне широкие полномочия.

Особую опасность представляют внешние злоумышленники, которые могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» (Denial of Service, DoS ) и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace .

Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.

Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.

Кроме того, Google включила правила обнаружения в Event Threat Detection и превентивные правила Policy Controller. Всем пользователям GKE, у которых есть привязки к этим группам, были отправлены уведомления по электронной почте с просьбой пересмотреть свои конфигурации.

Исследователи Orca предупреждают, что, несмотря на улучшения от Google, остается множество других ролей и разрешений, которые могут быть назначены группе system:authenticated. Поэтому организациям следует убедиться, что группа не обладает излишними привилегиями, чтобы избежать возможных угроз.