AWS исправила довольно досадную ошибку Kubernetes

Amazon Web Services (AWS) исправила довольно неприятную ошибку, которая могла позволить хакерам получить повышенные привилегии в кластере Kubernetes.

Ошибка была обнаружена в IAM Authenticator для Kubernetes, подключаемом инструменте, используемом Amazon EKS, сервисом управляемых контейнеров для запуска и масштабирования приложений Kubernetes.

Подробно описывая свои выводы в бюллетене по безопасности, AWS объяснила, что ошибка проявляется, когда подключаемый модуль аутентификации настроен на использование параметра модели AccessKeyID. Во всех остальных сценариях пользователи не подвергались риску.

Повторяющиеся имена параметров

Уязвимость была впервые обнаружена директором по исследованиям в области безопасности Lightspin Гафнитом Амигой. В сообщении в блоге (открывается в новой вкладке) он отметил: «Я обнаружил несколько недостатков в процессе аутентификации, которые могли обойти защиту от воспроизведения или позволить злоумышленнику получить более высокие разрешения в кластере, выдавая себя за другие удостоверения».

Уязвимость идентифицирована как CVE-2022-2385, добавляет Amiga, поясняя, что код должен проверять регистр параметров, но этого не происходит, и это приводит к ошибке. Хакеры могут создавать повторяющиеся имена параметров и использовать их для получения повышенных привилегий.

Однако о казни легче сказать, чем сделать. «Поскольку цикл for является неупорядоченным, параметры не всегда заменяются в том порядке, в котором мы хотим, поэтому нам может потребоваться отправить запрос с вредоносным токеном на сервер AWS IAM Authenticator несколько раз», — заключила Амига.

Все существующие кластеры EKS были исправлены в конце прошлого месяца, а новый аутентификатор IAM для версии Kubernetes больше не уязвим и не требует от пользователей дополнительных действий. Однако тем, кто размещает и управляет своими собственными кластерами Kubernetes и использует параметр модели AccessKeyID аутентификатора IAM, следует убедиться, что подключаемый модуль обновлен до версии 0.5.9.

Ошибка была впервые обнаружена в конце 2017 года, но только в сентябре 2020 года ее можно было использовать, заключил он.

Через: Реестр (откроется в новой вкладке)

Поделиться