Google heeft twee ernstige kwetsbaarheden in de Google Kubernetes Engine opgelost. Patchen is verstandig, aangezien een kwaadwillende via een aanval controle kan krijgen over een Kubernetes-cluster.
Onderzoekers van Palo Alto Networks kwamen de kwetsbaarheden op het spoor. Zij ontdekten een probleem in de configuratie van FluentBit, de loggingagent die standaard op alle clusters draait. Het probleem is gelinkt aan de default privileges voor Anthos Service Mesh (ASM), een optionele add-on die gebruikers in kunnen schakelen. ASM is de Google implementatie van de Istio Service Mesh, voor een service-to-service communicatie binnen een GKE-omgeving.
Op zichzelf hebben de twee kwetsbaarheden geen impact. Als een aanvaller echter de kwetsbaarheid in de FluentBit-container misbruikt en ASM geïnstalleerd is, dan is het mogelijk volledige controle over een Kubernetes-cluster te krijgen. De hacker kan door deze toegang data stelen, malafide pods deployen en de activiteiten van de cluster verstoren.
Update noodzakelijk
Gezien de populariteit van Kubernetes een serieuze zaak. Het containerplatform wordt veel gebruikt voor het deployen en beheren van applicaties. Binnen Kubernetes draaien vaak kritieke applicaties, waardoor een mogelijke verstoring van een cluster significante impact kan hebben op de continuïteit van een organisatie.
Google was er dan ook snel bij en heeft beide configuratieproblemen op 14 december opgelost. De techgigant raadt aan om handmatig clusters en node pools te upgraden naar GKE-versies 1.25.16-gke.1020000, 1.26.10-gke.1235000, 1.27.7-gke.1293000 of 1.28.4-gke.1083000 of nieuwer. Zelfs als auto-upgrade ingeschakeld is, is een handmatige update handig.
Tip: Google Cloud bedient de enterprise met eigen GKE-versie
1 dag geleden
