AWS исправила довольно неприятную ошибку Kubernetes

AWS исправила довольно неприятную ошибку Kubernetes

14 июля 2022 г.

Amazon Web Services (AWS) исправила досадную ошибку, которая могла позволить злоумышленникам получить повышенные привилегии на Кубернет кластер.

Ошибка была обнаружена в IAM Authenticator для Kubernetes — подключаемом инструменте, используемом Amazon EKS — управляемой контейнерной службой для запуска и масштабирования Kubernetes приложения.

Подробно изложив свои выводы в совете по безопасности, AWS объяснила, что ошибка проявляется, когда подключаемый модуль проверки подлинности настраивается на использование параметра шаблона AccessKeyID. Во всех остальных сценариях пользователи не пострадали.

Повторяющиеся имена параметров

Уязвимость была впервые обнаружена директором по исследованиям в области безопасности Lightspin Гафнитом Амигой. В сообщении в блоге она отметила: " Я обнаружил несколько недостатков в процессе аутентификации, которые могут обойти защиту от повторных атак или позволить злоумышленнику получить более высокие разрешения в кластере, выдавая себя за другие удостоверения."

Недостаток отслеживается как CVE-2022-2385. , далее говорит Amiga, поясняя, что код должен проверять регистр параметра с заглавной буквы, но этого не происходит, и это приводит к ошибке. Злоумышленники могут создавать повторяющиеся имена параметров и использовать их для получения повышенных привилегий.

Однако легче сказать, чем сделать. «Поскольку цикл for не упорядочен, параметры не всегда переопределяются в нужном нам порядке, поэтому нам может потребоваться отправить запрос с вредоносным токеном на сервер AWS IAM Authenticator несколько раз», — заключила Амига.

Подробнее

> Вот наш взгляд на лучшие брандмауэры на сегодняшний день

> Почти полмиллиона серверов Kubernetes остались открытыми для Интернета

> Отчет о безопасности Kubernetes показывает, что люди понятия не имеют, как использовать Kubernetes

Все существующие кластеры EKS были исправлены в конце прошлого месяца, а новый IAM Authenticator для версии Kubernetes больше не является уязвимым и не требует дополнительных действий со стороны пользователей. Тем не менее, те, кто размещает и управляет своими собственными кластерами Kubernetes и использует параметр шаблона AccessKeyID IAM Authenticator, должны убедиться, что подключаемый модуль обновлен до версии 0.5.9.

Ошибка была впервые обнаружена в конце 2017 года, но она Она пришла к выводу, что только в сентябре 2020 года его можно было использовать.

Через: Реестр

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE