Các nhà nghiên cứu khám phá cuộc tấn công TLS Bootstrap vào cụm Azure Kubernetes

Tác giả ChatGPT, T.Tám 21, 2024, 07:27:24 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng bảo mật ảnh hưởng đến Dịch vụ Microsoft Azure Kubernetes, nếu khai thác thành công, có thể cho phép kẻ tấn công leo thang đặc quyền và thông tin truy cập đối với các dịch vụ được cụm sử dụng.

"Kẻ tấn công thực thi lệnh trong Pod chạy trong cụm Dịch vụ Azure Kubernetes bị ảnh hưởng có thể tải xuống cấu hình được sử dụng để cung cấp nút cụm, trích xuất mã thông báo khởi động bảo mật lớp vận chuyển (TLS) và thực hiện cuộc tấn công khởi động TLS để đọc tất cả bí mật bên trong cụm," Mandiant thuộc sở hữu của Google cho biết.


Các cụm sử dụng "Azure CNI" cho "Cấu hình mạng" và "Azure" cho "Chính sách mạng" đã bị phát hiện là bị ảnh hưởng bởi lỗi leo thang đặc quyền. Microsoft đã giải quyết vấn đề sau khi tiết lộ có trách nhiệm.

Kỹ thuật tấn công do công ty tình báo mối đe dọa nghĩ ra xoay quanh việc truy cập vào một thành phần ít được biết đến có tên Azure WireServer để yêu cầu một khóa dùng để mã hóa các giá trị cài đặt được bảo vệ ("wireserver.key") và sử dụng nó để giải mã tập lệnh cung cấp bao gồm một số bí mật như như sau:

  • KUBELET_CLIENT_CONTENT (Khóa TLS nút chung)
  • KUBELET_CLIENT_CERT_CONTENT (Chứng chỉ TLS nút chung)
  • KUBELET_CA_CRT (Chứng chỉ Kubernetes CA)
  • TLS_BOOTSTRAP_TOKEN (Mã thông báo xác thực khởi động TLS)

Các nhà nghiên cứu Nick McClendon, Daniel McNamara và Jacob Paullus cho biết: "KUBELET_CLIENT_CONTENT, KUBELET_CLIENT_CERT_CONTENT và KUBELET_CA_CRT có thể được giải mã Base64 và ghi vào đĩa để sử dụng với công cụ dòng lệnh Kubernetes kubectl nhằm xác thực với cụm".

"Tài khoản này có quyền Kubernetes tối thiểu trong các cụm Dịch vụ Azure Kubernetes (AKS) được triển khai gần đây, nhưng đáng chú ý là nó có thể liệt kê các nút trong cụm."

Mặt khác, TLS_BOOTSTRAP_TOKEN có thể được sử dụng để kích hoạt cuộc tấn công khởi động TLS và cuối cùng có quyền truy cập vào tất cả các bí mật được sử dụng khi chạy khối lượng công việc. Cuộc tấn công không yêu cầu pod phải chạy bằng root.

Mandiant cho biết: "Việc áp dụng quy trình tạo NetworkPolicies hạn chế chỉ cho phép truy cập vào các dịch vụ được yêu cầu sẽ ngăn chặn toàn bộ lớp tấn công này". "Việc leo thang đặc quyền thông qua một dịch vụ không có giấy tờ bị ngăn chặn khi dịch vụ đó hoàn toàn không thể truy cập được."

Tiết lộ này được đưa ra khi nền tảng bảo mật Kubernetes ARMO nêu bật một lỗ hổng Kubernetes có mức độ nghiêm trọng cao mới ( CVE-2024-7646, điểm CVSS: 8.8) ảnh hưởng đến bộ điều khiển ingress-nginx và có thể cho phép tác nhân độc hại truy cập trái phép vào các tài nguyên cụm nhạy cảm.

Nhà nghiên cứu bảo mật Amit Schendel cho biết : "Lỗ hổng này bắt nguồn từ một lỗ hổng trong cách ingress-nginx xác thực các chú thích trên các đối tượng Ingress".

"Lỗ hổng này cho phép kẻ tấn công đưa nội dung độc hại vào một số chú thích nhất định, bỏ qua các bước kiểm tra xác thực dự định. Điều này có thể dẫn đến việc tiêm lệnh tùy ý và có khả năng truy cập vào thông tin xác thực của bộ điều khiển ingress-nginx, trong cấu hình mặc định, có quyền truy cập vào tất cả các bí mật trong cụm."

Nó cũng theo sau việc phát hiện ra một lỗ hổng thiết kế trong dự án git-sync Kubernetes có thể cho phép chèn lệnh trên Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) và Linode.

Nhà nghiên cứu Tomer Peled của Akamai cho biết : "Lỗi thiết kế này có thể gây ra việc trích xuất dữ liệu của bất kỳ tệp nào trong nhóm (bao gồm cả mã thông báo tài khoản dịch vụ) hoặc thực thi lệnh với đặc quyền người dùng git_sync". "Để khai thác lỗ hổng, tất cả những gì kẻ tấn công cần làm là áp dụng tệp YAML trên cụm, đây là một hoạt động có đặc quyền thấp."

Không có bản vá nào được lên kế hoạch cho lỗ hổng này, điều quan trọng là các tổ chức phải kiểm tra nhóm git-sync của họ để xác định lệnh nào đang được chạy.

Peled cho biết: "Cả hai nguyên nhân đều là do thiếu khả năng khử trùng đầu vào, điều này nêu bật sự cần thiết phải có biện pháp bảo vệ mạnh mẽ liên quan đến việc vệ sinh đầu vào của người dùng". "Các thành viên nhóm xanh nên đề phòng hành vi bất thường đến từ người dùng gitsync trong tổ chức của họ."