后果严重:Sys:All 允许通过 Google 帐户接管 Kubernetes 集群

阅读量49167

发布时间 : 2024-01-26 11:03:25

不正确的配置允许任何用户将木马引入集群。

安全公司Orca SecurityGoogle Kubernetes Engine ( GKE )中发现了一个漏洞,该漏洞允许拥有 Google 帐户的攻击者获得对 Kubernetes 集群的控制权。该问题的代号为 Sys:All。据估计,大约有 250,000 个活跃的 GKE 集群受到该漏洞的影响。

 根据 Orca Security 的一份报告,该问题是关于系统的一个常见误解: GKE 中的经过身份验证的组。system:authentiated 组是一个特殊的组,包含所有经过身份验证的对象,包括用户和服务帐户。许多人认为该群组只包含经过验证的用户,而事实上它包含任何 Google 帐户。此问题可能会产生严重后果,因为管理员可能会无意中授予该组过多的权力。

 尤其危险的是外部攻击者,他们可以使用 Google OAuth 2.0 令牌来获取集群的控制权,然后将其用于各种目的,包括加密货币挖矿、拒绝服务 ( DoS ) 攻击和窃取敏感数据。此外,这种方法不会留下任何可以追溯到特定GmailGoogle Workspace帐户的痕迹。

 各种敏感数据都面临风险,包括 JWT 令牌、GCP API 密钥、AWS 密钥、Google OAuth 凭证、私钥和容器注册表访问,这可能导致恶意代码被注入到容器映像中。

 Google 已采取措施解决该缺陷,方法是在 GKE 1.28 及更高版本中禁用 system:authentiated group cluster-admin 角色的关联。该公司还建议用户不要将 system:authentiated 组与任何 RBAC(基于角色的访问控制)角色关联起来,并检查其集群是否与该组关联。

 此外,Google 还在事件威胁检测和主动策略控制器规则中包含了检测规则。与这些群组有关联的所有 GKE 用户都已收到电子邮件通知,要求他们重新考虑其配置。

 Orca 研究人员警告说,尽管 Google 进行了改进,但仍有许多其他角色和权限可以分配给系统:经过身份验证的组。因此,组织应确保该组没有过多的权限,以避免可能的威胁。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66