В Kubernetes обнаружена первая серьезная уязвимость

В ПО с открытым исходным кодом Kubernetes, предназначенном для управления контейнеризированными приложениями, обнаружена первая серьезная уязвимость. С ее помощью злоумышленник может повысить свои права и получить привилегии администратора. Проблема получила идентификатор CVE-2018-1002105 и оценку 9,8 балла из максимальных 10 по системе CVSS.

С помощью особым образом сформированного сетевого запроса атакующий может подключиться к конечному серверу через сервер Kubernetes API. Когда соединение установлено, злоумышленник может отправлять произвольные запросы непосредственно конечному серверу. Более того, эти запросы будут аутентифицированы с помощью учетных данных TLS сервера Kubernetes API.

«При настройках по умолчанию все пользователи (как авторизованные, так и неавторизованные) могут выполнять запросы для повышения своих привилегий», - сообщил исследователь из Red Hat Джордан Лиггитт (Jordan Liggitt). Другими словами, любой желающий, которому известно об этой уязвимости, может захватить контроль над чужим кластером.

Проблема усугубляется невозможностью проверить, была ли уязвимость проэксплуатирована. Поскольку через установленное соединение отправляются неавторизованные запросы, они не отображаются в журнале сервера или журнале аудита. Запросы появляются в kubelet или агрегированных логах сервера API, но их невозможно отличить от авторизованных и проксированных запросов, отправленных через сервер Kubernetes API.

Пользователям настоятельно рекомендуется обновить Kubernetes до версий 1.10.11, 1.11.5, 1.12.3 или 1.13.0-rc.1, в которых уязвимость уже исправлена. Особенно это касается пользователей версий 1.0.x-1.9.x.