Een beveiligingsonderzoek heeft 34 kwetsbaarheden in Kubernetes-code aan het licht gebracht. Van de ontdekte bugs in het populaire open-source container-orkestratiesysteem werden er vier als ‘zeer ernstig’ gelabeld.
Dat maakte de Cloud Native Computing Foundation dinsdag bekend in het gepubliceerde onderzoeksrapport Open Sourcing the Kubernetes Security Audit. Naast vier ‘zeer ernstige’ kwetsbaarheden kregen 15 de stempel ‘gemiddeld’, 8 ‘laag’ en 7 de stempel ‘informatief’, waarvan de laatste geen onmiddellijk gevaar met zich zou meebrengen, aldus Silicon Angle.
Bugs door snelle ontwikkeling
Containers zijn eigenlijk niets meer dan software waarmee applicaties ongewijzigd kunnen worden uitgevoerd in verschillende computeromgevingen. Dat er nu kwetsbaarheden in Kubernetes-code gevonden worden, komt eigenlijk niet als verrassing. Zeker niet gezien het snelle tempo waarin deze innovatieve technologie zich ontwikkelt.
“Wat Kubernetes zo groot maakt, is de enorme sterke community en het ecosysteem. We hebben mensen zelfs frames en verschillende open-sourceplatforms zien bouwen bovenop Kubernetes”, aldus software-ingenieur Janet Kuo van Google. Volgens hem blijft Kubernetes ondanks de complexiteit dan ook groeien door de krachtige ondersteuning.
CVE-2019-11249 en CVE-2019-11247
Twee kwetsbaarheden, CVE-2019-11249 en CVE-2019-11247, vallen volgens het onderzoek op. Waarvan CVE-2019-11247 niet eens bestempeld is als ‘zeer ernstig’, maar juist het label ‘gemiddeld’ kreeg. “Hoewel CVE-2019-11247 een CVSS-score van gemiddelde ernst heeft gekregen, vormt het een bijzonder ernstige bedreiging. Helemaal wanneer aangepaste bronnen worden gebruikt voor het beheren van functionaliteit met betrekking tot cluster- of applicatiebeveiliging.”, zegt Ernst Bruner van StackRox, leverancier van het gelijknamige Kubernetes Security Platform.
CVE-2019-11247 geeft via een applicatie-programmeerinterface toegang tot een cluster scope client resources. Volgens Bruner stelt het lek gebruikers in staat clusterbrede aangepaste bronnen te lezen, wijzigen of verwijderen. CVE-2019-11249 is een kwetsbaarheid waarmee een kwaadwillende speler een container kan creëren of bestanden kan vervangen.
‘Codebase Kubernetes kan beter’
De Cloud Native Computing Foundation-audit, ook wel bekend als Trail of Bits en beschikbaar op GitHub, geeft een enigszins gemengde reactie op beveiliging in Kubernetes. “Het beoordelingsteam vindt de configuratie en implementatie van Kubernetes niet-triviaal, waarbij bepaalde componenten verwarrende standaardinstellingen hebben. Bovendien missen ze operationele controles en impliciet ontworpen beveiligingscontroles. Ook de toestand van de codebase van Kubernetes kan aanzienlijk worden verbeterd.”
Inmiddels zijn er Kubernetes-updates uitgebracht om de bovengenoemde beveiligingslekken aan te pakken. Afgelopen maandag zijn versies 1.13.9, 1.14.5 en 1.15.2 al aan Kubernetes-gebruikers vrijgegeven met de aanbeveling alle clients onmiddellijk naar een van deze releases te updaten.
Lees ook: Cisco en Microsoft vereenvoudigen Kubernetes-applicaties in containers