Исправление GCP-2023-047: Google борется с хакерами в Kubernetes

Платформа Google Cloud недавно устранила уязвимость средней степени серьёзности, отслеживаемую под внутренним идентификатором GCP-2023-047 . Этот недочёт мог быть использован для повышения привилегий злоумышленником, который уже имеет доступ к кластеру Kubernetes.

Проблема заключалась в том, что компрометация контейнера логирования Fluent Bit могла сочетаться с высокими привилегиями, требуемыми Anthos Service Mesh, для эскалации привилегий в кластере. Об этом говорится в рекомендации по безопасности компании от 14 декабря 2023 года.

Специалисты Unit 42 из Palo Alto Networks, обнаружившие этот недостаток, указали на возможность использования этой уязвимости для кражи данных, развёртывания вредоносных модулей и нарушения работы кластера.

Подтверждений о том, что уязвимость использовалась в реальных атаках, пока нет. Google уже устранил проблему в актуальных версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM).

Уязвимость могла быть успешно использована только при условии, что злоумышленник уже скомпрометировал контейнер FluentBit другим способом, например, через уязвимость удалённого выполнения кода.

В Google Cloud отметили, что GKE использует Fluent Bit для обработки логов рабочих нагрузок, запущенных в кластерах. Fluent Bit в GKE был настроен также для сбора логов для рабочих нагрузок Cloud Run. Эта настройка предоставляла Fluent Bit доступ к токенам учётных записей Kubernetes для других подов, запущенных на узле.

Таким образом, злоумышленник мог использовать этот доступ для получения привилегированного доступа к кластеру Kubernetes с включённым ASM, а затем использовать токен учётной записи ASM для эскалации своих привилегий путём создания нового модуля с правами администратора кластера.

Google устранил уязвимость, удалив доступ Fluent Bit к токенам учётных записей и перестроив функциональность ASM для уменьшения чрезмерных разрешений на основе ролевого контроля доступа.

Эксперт по безопасности Шауль Бен Хай подчеркнул риски, связанные с системными модулями, автоматически создаваемыми при запуске кластера. Они встроены в инфраструктуру Kubernetes и сразу запускаются с повышенными привилегиями, что несёт за собой весьма конкретный и реальный риск.