- A+
黑客可以窃取数据,破坏云部署等等。
Kubernetes开源容器软件中发现了一个关键的权限升级漏洞(CVE-2018-1002105),该软件是当今大部分云基础架构的固定装置。 它可能允许攻击者不受限制地远程访问以窃取数据或使生产应用程序崩溃。
它标志着Kubernetes发现的第一个严重问题之一,它是一个巨大的,CVSS得分为9.8。 黑客可以发送特制请求,通过存在问题的Kubernetes API服务器与任何连接的后端服务器(例如聚合API服务器和“ kubelet ”)建立连接 ,这些服务器是负责运行什么的小型构建块模块。任何特定的机器)。 一旦建立连接,就不会检查是否能够直接向这些后端发送任意请求,因为根据周一发布的建议,这些请求将使用Kubernetes API服务器用于建立初始连接的TLS凭证自动进行身份验证。 。
由于脆弱表面的庞大规模,这个问题特别令人担忧。 Kubernetes是Linux容器编排中事实上的标准; 它使得在云中一起编排容器化应用程序成为可能,从而实现由数百甚至数千个“更简单”服务组成的组合服务。 与传统应用程序相比,这些编排好的应用程序通常更易于管理,更灵活,更易于维护。 但是,这种架构还意味着,通过恶意访问一个易受攻击的API服务器,所有这些子服务都会被打开以便妥协。
因此,攻击者可以深入访问云基础架构,执行任何数量的恶意操作,包括数据抢占,安装恶意软件,间谍和侦察,或更改生产工作负载以进行破坏。
“当你考虑其曝光规模时,Kubernetes的漏洞是一个巨大的优势,”Sumo Logic CSO George Gerchow通过电子邮件告诉我们。 “Kubernetes的伟大之处在于它的基本速度,编排,自动化和规模。 当出现安全问题时,所有这些品质都会立即造成损害,因为它们会迅速扩大攻击范围。“
Kubernetes已发布更新以解决该漏洞( v1.10.11 , v1.11.5和v1.12.3 ); 个人发行版需要发布自己的更新。 Red Hat已升级其OpenShift容器平台(此处已修补版本 ); 用户应访问Debian和SUSE发行版的安全跟踪器页面,以获取有关这些平台上Kubernetes补丁程序可用性的最新信息。
StackRox产品副总裁Wei Lien Dang告诉Threatpost说:“我们对它的范围以及之前未发现的事实感到惊讶。” “自从v1.0以来,每个版本的Kubernetes都存在此漏洞。 但Kubernetes是具有大量代码库的复杂软件,它在某种程度上可能导致各种安全问题。 修复程序非常简单 - 只有37行代码 - 说明了Kubernetes代码库的成熟度和高质量。 我们最担心的是,很难发现何时利用此漏洞并且每个使用Kubernetes的人都可能受到影响。“
随着大多数组织的集装箱安全性开始进入雷达屏幕,这一消息传来。 即使公司采用云部署和容器,大多数拥有此类部署的组织也不会为充分保护云原生应用程序做好准备。
例如,在StackRox 最近的一项调查中 ,超过三分之一的组织担心他们的安全策略无法充分解决容器安全问题。 另有15%的人认为他们的策略不会严重影响容器的威胁,特别是Kubernetes的部署。
Gerchow指出,“任何精通安全的专业人士都会发现[容器缺陷]会发生,因为众所周知,新兴技术将安全视为事后的想法。 从更大的角度来看,这是开发和安全团队如何通过DevSecOps协同建立护栏和最佳实践同时保持灵活性的另一个例子。 大多数组织缺乏对其容器的适当安全性和配置的可见性,而不仅仅是CI / CD管道的整体安全性和配置。“
Synopsys的高级首席顾问Andrew van der Stock指出,与许多技术领域一样,安全性并不一定跟不上互联网经济中的技术创新,因为漏洞的API方面也值得注意。
“通过传统的安全测试工具和方法很难测试API,并且在某种程度上,安全行业还没有跟上,主要是因为大多数不是开发人员自己,”他通过电子邮件说。 “作为一个整体,安全行业需要向左转,采用与开发人员相同的工具,并编写完全运行API的单元和集成测试,特别是那些有可能改变应用程序状态或提取大量个人信息的API。”
他补充说,鉴于当今企业IT基础架构中API的普及,保护它们应该是最重要的。
“API使得做生意的摩擦更少,”他说。 “我们预计API会持续爆炸式增长 - 现代响应式应用程序,移动应用程序和B2B用例非常受欢迎。 然而,虽然以前的应用程序未涵盖的API存在新的风险,但应用程序安全性几乎是普遍存在的,并且在2019年仍然具有令人难以置信的相关性。确保API应该是每个使用它们的组织的关注点。
API缺陷最近成为头条新闻; 例如,在感恩节之前,美国邮政局和亚马逊网站的漏洞出现 ,提醒我们购物季节的危险性; 两者都取决于API使用不当。
