Google Cloud resuelve una vulnerabilidad de escalada de privilegios que afecta al servicio de Kubernetes – Masterhacks Blog

Google Cloud resuelve una vulnerabilidad de escalada de privilegios que afecta al servicio de Kubernetes

Google Cloud ha solucionado un defecto de seguridad de nivel medio en su infraestructura que podría ser explotado por un intruso que ya tuviera acceso a un clúster de Kubernetes para amplificar sus derechos de acceso.

«Si un atacante ha tomado el control del contenedor de registro Fluent Bit, podría aprovechar ese acceso junto con los permisos avanzados que necesita Anthos Service Mesh (en aquellos clústeres donde está activado) para incrementar sus capacidades dentro del clúster», indicó la empresa en un comunicado publicado el 14 de diciembre de 2023.

La unidad 42 de Palo Alto Networks, quien identificó y informó sobre el fallo, señaló que los ciberdelincuentes podrían utilizar esta vulnerabilidad para ejecutar acciones como «exfiltrar información, instalar componentes maliciosos y perturbar el funcionamiento del clúster».

No se ha detectado actividad maliciosa relacionada con esta falla hasta la fecha. Las versiones afectadas se han solucionado en las siguientes ediciones de Google Kubernetes Engine (GKE) y Anthos Service Mesh (ASM):

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Para que un atacante pueda aprovechar con efectividad este problema, es esencial que ya haya tomado el control de un contenedor FluentBit mediante otras vulnerabilidades, como podría ser una falla de ejecución de código a distancia.

«Según detalló Google, GKE emplea Fluent Bit para analizar registros de tareas que se desempeñan en los clústeres. Además, en GKE, se había establecido Fluent Bit para registrar información de las tareas de Cloud Run. Al establecer este tipo de registro, Fluent Bit accedía a tokens de cuentas de servicio de Kubernetes de otros Pods presentes en el nodo.»

Esto conllevaba que un atacante podría aprovechar dicho acceso para obtener mayores permisos en un clúster de Kubernetes con ASM activado, y posteriormente usar el token de ASM para amplificar sus capacidades al crear un pod con permisos de administrador del clúster.

«El servicio de agregación de roles de clúster (CRAC) se presenta como la opción principal, ya que tiene la habilidad de incorporar permisos adicionales a roles clúster existentes. Un atacante tendría la posibilidad de modificar el rol del clúster asociado a CRAC para obtener máximos privilegios», señaló el experto en seguridad Shaul Ben Hai.

Como medidas correctivas, Google ha restringido el acceso de Fluent Bit a los tokens de cuentas de servicio y ha modificado la estructura de ASM para reducir los permisos de control basado en roles (RBAC) exagerados.

«Cuando se inicia un clúster, los proveedores de nube generan de manera automática pods de sistema. Estos se integran en la infraestructura de Kubernetes, similar a los pods complementarios activados al implementar una característica específica», agregó Ben Hai.

«Esto se debe a que las entidades de nube o proveedores de aplicaciones son quienes generalmente los establecen y administran, limitando la intervención del usuario en sus ajustes o permisos. Esta situación representa un riesgo notable, dado que estos pods operan con privilegios elevados.»

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *