CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/12/2018

Agujero de seguridad importante en Kubernetes

Se ha detectado el primer agujero de seguridad en Kubernetes, "los delincuentes no solo pueden robar datos confidenciales o inyectar códigos maliciosos, sino que también pueden reducir las aplicaciones y servicios de producción desde el firewall de una organización".

Riesgo: Crítico

Kubernetes es un proyecto iniciado por Google en el año 2014 para mejorar el funcionamiento de las cargas de trabajo de producción a gran escala, al ser un sistema de código libre para la automatización del despliegue, ajuste de escala y manejo de aplicaciones en contenedores en la nube ha incrementado su popularidad en los últimos años, simplemente era cuestión de tiempo para que los ciberdelincuentes encontraran alguna vulnerabilidad critica de seguridad en este sistema.

El bug puede usarse de dos formas:

La primera relacionada con un usuario normal que posee los privilegios de la instancia  'exec', 'attach' o 'portfoward' sobre un grupo de contenedores que compartan almacenamiento y recursos en red. Podrían escalar privilegios a nivel de cluster-admin y ejecutar cualquier proceso en un contenedor.

El segundo método explota la característica de extensión usada por 'metrics-server' y servicecatalog de la API en una plataforma de contenedores OpenShift, OpenShift Online y dedicado. permite que un usuario no autenticado pueda acceder a la API para crear nuevos servicios que podrían usarse para inyectar código malicioso.

Podéis encontrar más información en el siguiente enlace.

 

Sistemas Afectados:

Versiones:  v1.10.11, v1.11.5, v1.12.3 y v1.13.0-rc.1.
Las versiones de Kubernetes anteriores a estos junto con los productos y servicios basados ??en ellos se ven afectados por CVE-2018-1002105.

Referencias:

CVE-2018-1002105.

Solución:

Se recomienda que todos los clusters que ejecutan versiones anteriores se actualicen inmediatamente.

Notas:

https://github.com/kubernetes/kubernetes/issues/71411

Fuente: tecnonucleous.com

CSIRT-CV