Een ernstige kwetsbaarheid in Kubernetes werd opnieuw onder handen genomen, nadat een eerdere patch niet afdoende bleek. De bug kan leiden tot een complete overname van productieomgevingen in de cloud.
De kwetsbaarheid bevindt zich in kubectl, de command-line-interface (CLI) om commando’s uit te voeren op Kubernetes-clusters. Security-onderzoekers ontdekten een probleem met de kubectl cp-bewerking in de CLI, die wordt gebruikt om bestanden uit containers te kopiëren naar de hostcomputer.
“Om bestanden uit een container te kopiëren, voert Kubernetes tar uit in de container om een tar-archief te maken, het via het netwerk te kopiëren en kubectl pakt het uit op de computer van de gebruiker”, verduidelijkt Joel Smith van het Kubernetes Product Security Committee.
Als de tar-binary in de container kwaadaardig is, kan het willekeurige code uitvoeren, met onverwachte, schadelijke resultaten als gevolg.
“Een aanvaller kan dit gebruiken om bestanden te schrijven naar elk pad op de machine van de gebruiker wanneer kubectl cp wordt aangeroepen, en is daarbij alleen beperkt door de systeemrechten van de lokale gebruiker”, illustreert Smith.
Volledige overname
Zo’n aanval houdt wel in dat een aanvaller eerst zijn code in een Kubernetes-container moet krijgen en vervolgens wachten tot een admin de bestanden naar zijn systeem kopieert. De code wordt dan automatisch uitgevoerd, maar een aanval heeft dus ook wat geluk of social engineering nodig om te slagen.
De gevolgen van een geslaagde aanval kunnen evenwel enorm zijn. Misbruik van de kwetsbaarheid kan potentieel leiden tot een volledige overname van Kubernetes-productieomgevingen, wanneer bijvoorbeeld het toegangsbeheer tot een cluster niet goed is gelimiteerd of gebruikers kubectl gebruiken met verhoogde lokale systeemrechten.
Tweede patch
De kwetsbaarheid werd al eens gedicht in maart van dit jaar, maar die patch was onvoldoende om de bug volledig weg te werken. Er werd een nieuwe methode ontdekt om de bug te misbruiken, die om verdere fixes vraagt.
Bedrijven en ontwikkelaars die hun eigen Kubernetes-installaties draaienm worden geadviseerd om kubectl en Kubernetes te upgraden naar versies 1.12.9, 1.13.6, 1.14.2 of hoger.