Уязвимость в Google Kubernetes Engine позволяет легко захватить кластеры

Уязвимость в Google Kubernetes Engine позволяет легко захватить кластеры. Фото: СС0

Исследователи кибербезопасности из Orca назвали уязвимость Sys:All и заявили, что четверть миллиона активных кластеров GKE не защищены от этой бреши в безопасности.

Многие пользователи ошибочно полагают, что группа system:authenticated в Google Kubernetes Engine включает только проверенные и детерминированные личности. На самом деле для включения в группу достаточно любой учетной записи, аутентифицированной Google.

Как поясняется в отчете, группа system:authenticated включает в себя как аутентифицированные объекты, так и учетные записи людей и служб. Это означает, что злоумышленник может использовать токен носителя Google OAuth 2.0 и получить контроль над кластером. Этот контроль впоследствии может быть использован для развертывания всех видов вредоносного ПО, перемещения по сети или кражи конфиденциальных данных с конечных точек.

Более того, в организации-жертве не смогут отследить атаку до конкретной учетной записи Gmail или Google Workspace. Исследователи считают, что уязвимость может быть использована для взлома систем множества компаний, а различные виды конфиденциальных данных могут находятся под угрозой. В список данных входят токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и учетные данные для реестров контейнеров.

Вскоре после сообщения об этой новости в Google предложили шаги по блокированию привязки группы system:authenticated к роли администратора кластера в GKE. Они применены в версиях 1.28 и более поздних версиях.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Ivanti призывает прекратить установку собственного патча из-за очередных проблем с безопасностью.
• Brave прекращает поддержку строгой защиты от «снятия отпечатков пальцев».
• Критический недостаток vCenter теперь используется в атаках.