Google Cloud: Vulnerabilità Grave Nei Cluster Kubernetes Risolta in Tempo Record

Redazione RHC : 3 Gennaio 2024 08:48

Google Cloud ha risolto una vulnerabilità che potrebbe essere utilizzata da un utente malintenzionato con accesso a un cluster Kubernetes per aumentare i propri privilegi.

“Un utente malintenzionato che ha compromesso il container Fluent Bit potrebbe combinare questo accesso con i privilegi più elevati richiesti da Anthos Service Mesh (nei cluster in cui è disponibile) per aumentare i propri privilegi nel cluster”, afferma l’azienda.

La condizione chiave necessaria per sfruttare questa vulnerabilità è cioè la compromissione anticipata di FluentBit, cosa che l’aggressore dovrebbe fare in altro modo. I ricercatori di Palo Alto Networks che hanno scoperto la vulnerabilità hanno affermato che gli aggressori potrebbero utilizzarla per “rubare dati, distribuire pod dannosi e interrompere le operazioni dei cluster”.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“GKE utilizza Fluent Bit per elaborare i log dei carichi di lavoro nei cluster”, spiega Google. — Fluent Bit in GKE è configurato anche per raccogliere i log dei carichi di lavoro per Cloud Run. Ciò ha consentito a Fluent Bit di accedere ai token dell’account di servizio Kubernetes per altri pod in esecuzione sul nodo.”

Questo significa che un utente malintenzionato potrebbe utilizzare questo accesso per ottenere un accesso privilegiato a un cluster Kubernetes abilitato per ASM e quindi utilizzare il token dell’account del servizio ASM per aumentare i privilegi (creando un nuovo pod con privilegi di amministratore del cluster).

Gli esperti non hanno trovato segni che il problema fosse già stato sfruttato dagli hacker. Il bug è stato corretto nelle seguenti versioni di Google Kubernetes Engine (GKE) e Anthos Service Mesh (ASM):

• 25.16-gke.1020000;
• 26.10-gke.1235000;
• 27.7-gke.1293000;
• 28.4-gke.1083000;
• 17,8-asm.8;
• 18,6-asm.2;
• 19,5-asm.4.

Per risolvere il problema, Google ha rimosso l’accesso di Fluent Bit ai token e ha ricostruito la funzionalità ASM per rimuovere le autorizzazioni RBAC ridondanti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli