Google Kubernetes Engine 中的漏洞可能允許叢集接管

Palo Alto Networks的近期報告指出，有權訪問 Kubernetes 叢集（cluster）的攻擊者可以串聯 Google Kubernetes Engine (GKE) 中的兩個漏洞來提升權限並接管叢集。
 
這些問題本身可能不會構成重大風險，但已在GKE 中的預設日誌記錄代理程式FluentBit和用於服務間通訊的插件選項Anthos Service Mesh (ASM)環境中發現。

FluentBit 是一種輕量級日誌處理器和轉發器，自 2023 年 3 月以來一直是 GKE 中的預設日誌記錄代理，從一開始就部署為 DaemonSet（控制器）。ASM是Google對Istio Service Mesh開源專案的實現，用於服務的管理和視覺化。

Palo Alto Networks 表示，最近在 FluentBit 和 ASM 中發現的漏洞可以作為第二階段攻擊利用，第一階段是攻擊者已經在 FluentBit 容器中實現了遠端程式碼執行，或者他們突破另一個容器。

如果攻擊者有能力在 FluentBit 容器中執行程式，同時叢集也安裝了 ASM，他們就可以建立一個強大的攻擊鏈來完全控制 Kubernetes 叢集。攻擊者可以利用此存取權限進行資料竊取、部署惡意 Pod 並破壞叢集運作。
 
FluentBit 中的錯誤配置可能允許攻擊者使用節點中任何 pod 的令牌來冒充該 pod，獲得對叢集的未經授權的訪問，並列出所有正在運行的 pod。

除了獲得對叢集的未經授權的存取之外，攻擊者還可以升級他們的權限或執行有害的操作。具體取決於節點中相鄰 Pod 的權限。

Palo Alto Networks發現ASM 的容器網路介面 (CNI) DaemonSet 保留過多的權限，允許攻擊者使用這些權限建立新的 pod，並獲得對叢集的特權存取。
 
Google已於GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000，以及 ASM 版本 1.17.1.10. .2 和1.19.5-asm.4 解決了這些錯誤。同時敦促用戶手動更新叢集和節點池。目前Google表示目前沒有發現攻擊利用這兩個漏洞。

本文轉載自Security Week。