Amazon Web Services (AWS) исправила довольно неприятную ошибку, которая могла позволить хакерам получить повышенные привилегии в кластере Kubernetes.
Ошибка была обнаружена в IAM Authenticator for Kubernetes, дополнительном инструменте, используемом Amazon EKS, управляемой контейнерной службой для запуска и масштабирования приложений Kubernetes.
Подробно описывая свои выводы в рекомендациях по безопасности, AWS объяснила, что ошибка проявляется, когда плагин аутентификации настроен на использование параметра модели AccessKeyID. Во всех остальных сценариях пользователи не подвергались риску.
Повторяющиеся имена параметров
Уязвимость была впервые обнаружена директором по исследованиям безопасности Lightspin Гафнитом Амигой. В сообщении блога (откроется в новой вкладке) он отметил: «Я обнаружил несколько недостатков в процессе аутентификации, которые могут обойти защиту от атак повторного воспроизведения или позволить злоумышленнику получить более высокие разрешения в кластере, выдавая себя за другие личности».
Уязвимость обозначена как CVE-2022-2385, добавляет Amiga, поясняя, что код должен проверять заглавные буквы параметров, но не делает этого, и это приводит к ошибке. Хакеры могут создавать повторяющиеся имена параметров и использовать их для получения повышенных привилегий.
Однако о реализации легче сказать, чем сделать. «Поскольку цикл for не упорядочен, параметры не всегда заменяются в том порядке, в котором мы хотим, поэтому нам может потребоваться отправить запрос с вредоносным токеном на сервер AWS IAM Authenticator несколько раз», — заключила Амига.
Все существующие кластеры EKS были исправлены в конце прошлого месяца, а новый аутентификатор IAM для версии Kubernetes больше не уязвим и не требует никаких дополнительных действий со стороны пользователей. Однако тем, кто размещает и управляет собственными кластерами Kubernetes и использует параметр модели AccessKeyID аутентификатора IAM, следует убедиться, что плагин обновлен до версии 0.5.9.
Впервые эта ошибка была обнаружена в конце 2017 года, но эксплуатировать ее удалось только в сентябре 2020 года, заключил он.
Через: Реестр (откроется в новой вкладке)