歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Google Kubernetes Engine 中的漏洞可能允許叢集接管
2024 / 01 / 03
編輯部
Palo Alto Networks的近期報告指出,有權訪問 Kubernetes 叢集(cluster)的攻擊者可以串聯 Google Kubernetes Engine (GKE) 中的兩個漏洞來提升權限並接管叢集。
這些問題本身可能不會構成重大風險,但已在GKE 中的預設日誌記錄代理程式FluentBit和用於服務間通訊的插件選項Anthos Service Mesh (ASM)環境中發現。
FluentBit 是一種輕量級日誌處理器和轉發器,自 2023 年 3 月以來一直是 GKE 中的預設日誌記錄代理,從一開始就部署為 DaemonSet(控制器)。ASM是Google對Istio Service Mesh開源專案的實現,用於服務的管理和視覺化。
Palo Alto Networks 表示,最近在 FluentBit 和 ASM 中發現的漏洞可以作為第二階段攻擊利用,第一階段是攻擊者已經在 FluentBit 容器中實現了遠端程式碼執行,或者他們突破另一個容器。
如果攻擊者有能力在 FluentBit 容器中執行程式,同時叢集也安裝了 ASM,他們就可以建立一個強大的攻擊鏈來完全控制 Kubernetes 叢集。攻擊者可以利用此存取權限進行資料竊取、部署惡意 Pod 並破壞叢集運作。
FluentBit 中的錯誤配置可能允許攻擊者使用節點中任何 pod 的令牌來冒充該 pod,獲得對叢集的未經授權的訪問,並列出所有正在運行的 pod。
除了獲得對叢集的未經授權的存取之外,攻擊者還可以升級他們的權限或執行有害的操作。具體取決於節點中相鄰 Pod 的權限。
Palo Alto Networks發現ASM 的容器網路介面 (CNI) DaemonSet 保留過多的權限,允許攻擊者使用這些權限建立新的 pod,並獲得對叢集的特權存取。
Google已於GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000,以及 ASM 版本 1.17.1.10. .2 和1.19.5-asm.4 解決了這些錯誤。同時敦促用戶手動更新叢集和節點池。目前Google表示目前沒有發現攻擊利用這兩個漏洞。
本文轉載自Security Week。
雲端安全. 容器安全
K8S
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
美國FTC提告GoDaddy長年網路安全防護不足
美國CERT示警:420萬台設備存在通道協定漏洞,VPN和路由器皆受影響
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰