Ernstige kwetsbaarheid in Kubernetes gepatcht

Abonneer je gratis op Techzine!

Het Kubernetes-project heeft een gevaarlijke beveiligingsfout opgelost met een patch. De fout kon hacks toestaan waarbij aanvallers code draaien op de host machine. De fout heeft geen impact op het Kubernetes-systeem zelf, maar op kubectl (Kube Control). Dat is de officiële command-line voorziening voor het werken met Kubernetes-installaties. 

Beveiligingsonderzoekers ontdekten een beveiligingsfout in de kubectl cp (copy) operatie, die gebruikt wordt om bestanden van containers naar een host machine van de gebruiker te verplaatsen, schrijft ZDNet. Om dit mogelijk te maken, draait Kubernetes ‘tar’ binnenin de container om een tar-archief op te zetten. Vervolgens wordt dit over het netwerk heen gekopieerd en pakt kubectl het uit op de machine van de gebruiker.

Blijkt de tar binary in de container echter malafide te zijn, dan kan het allerlei soorten code draaien en onverwachte, malafide resultaten uitgeven. Een aanvaller kan dat gebruiken om bestanden naar ieder pad op de machine van de gebruiker te schrijven als kubectl cp is opgeroepen. De aanvaller wordt dan alleen gelimiteerd door de permissies die een gebruiker heeft op het systeem.

Het misbruiken van de fout is niet eenvoudig. Hier moet een aanvaller eerst een malafide bestand binnenin een Kubernetes-container plaatsen, en vervolgens wachten tot een Kubernetes-admin die bestanden verhuist naar zijn systeem. De malafide bestanden worden wel automatisch uitgevoerd. Maar een succesvolle aanval hangt dus samen met geluk en social engineering.

Patch

De kwetsbaarheid, CVE-2019-11246, lijkt vrij veel op CVE-2019-1002101. De nieuwe kwetsbaarheid komt voort uit incomplete oplossingen voor CVE-2019-10021. Die kwetsbaarheid werd in maart opgelost. De originele oplossing was echter incompleet en er werd een nieuwe exploit-methode ontdekt.

Bedrijven en ontwikkelaars die hun eigen Kubernetes-installaties draaien, worden geadviseerd om kubectl en Kubernetes te upgraden naar versies 1.12.9, 1.13.6 of 1.14.2 of later. Google Cloud heeft laten weten dat alle versies van Google Kubernetes Engine gcloud ook getroffen zijn door de kwetsbaarheid. Dat bedrijf raadt aan te upgraden naar de laatste patch-versie van gcloud als deze beschikbaar is.