Google Cloud: Vulnerabilità Grave Nei Cluster Kubernetes Risolta in Tempo Record

Google Cloud ha risolto una vulnerabilità che potrebbe essere utilizzata da un utente malintenzionato con accesso a un cluster Kubernetes per aumentare i propri privilegi.

“Un utente malintenzionato che ha compromesso il container Fluent Bit potrebbe combinare questo accesso con i privilegi più elevati richiesti da Anthos Service Mesh (nei cluster in cui è disponibile) per aumentare i propri privilegi nel cluster”, afferma l’azienda.

La condizione chiave necessaria per sfruttare questa vulnerabilità è cioè la compromissione anticipata di FluentBit, cosa che l’aggressore dovrebbe fare in altro modo. I ricercatori di Palo Alto Networks che hanno scoperto la vulnerabilità hanno affermato che gli aggressori potrebbero utilizzarla per “rubare dati, distribuire pod dannosi e interrompere le operazioni dei cluster”.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“GKE utilizza Fluent Bit per elaborare i log dei carichi di lavoro nei cluster”, spiega Google. — Fluent Bit in GKE è configurato anche per raccogliere i log dei carichi di lavoro per Cloud Run. Ciò ha consentito a Fluent Bit di accedere ai token dell’account di servizio Kubernetes per altri pod in esecuzione sul nodo.”

Questo significa che un utente malintenzionato potrebbe utilizzare questo accesso per ottenere un accesso privilegiato a un cluster Kubernetes abilitato per ASM e quindi utilizzare il token dell’account del servizio ASM per aumentare i privilegi (creando un nuovo pod con privilegi di amministratore del cluster).

Gli esperti non hanno trovato segni che il problema fosse già stato sfruttato dagli hacker. Il bug è stato corretto nelle seguenti versioni di Google Kubernetes Engine (GKE) e Anthos Service Mesh (ASM):

• 25.16-gke.1020000;
• 26.10-gke.1235000;
• 27.7-gke.1293000;
• 28.4-gke.1083000;
• 17,8-asm.8;
• 18,6-asm.2;
• 19,5-asm.4.

Per risolvere il problema, Google ha rimosso l’accesso di Fluent Bit ai token e ha ricostruito la funzionalità ASM per rimuovere le autorizzazioni RBAC ridondanti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.