2min Security

Kubernetes-dienst Microsoft Azure kon door hackers worden misbruikt

Kubernetes-dienst Microsoft Azure kon door hackers worden misbruikt

Microsoft’s Azure Kubernetes Service (AKS) is getroffen door een kritieke kwetsbaarheid voor privilege escalation, ontdekte Mandiant onlangs. Hackers zouden mogelijk toegang hebben gehad tot inlogggevens voor diensten in de Kubernetes-clusters van de dienst.

Volgens Mandiant is de privilege escalation-kwetsbaarheid aangetroffen in AKS clusters die ‘Azure CNI’ voor de ‘network configuration’ en ‘Azure’ voor de network policy gebruikten. Hackers die command execution-rechten hebben voor een pod in het getroffen AKS-cluster, konden de configuratie downloaden om de cluster node in te stellen.

Daarnaast konden ze de security bootstrap tokens voor de transportlaag stelen en een TLS bootstrap-aanval uitvoeren om alle secrets binnen het bewuste cluster te lezen.

Relatie met Azure WireServer

De nieuw gevonden kwetsbaarheid is gerelateerd aan Azure WireServer. Dit is een niet gedocumenteerd onderdeel van Azure dat het platform voor verschillende zaken intern gebruikt. De key die wordt gebruikt voor de beschermde instellingswaarden kan vanuit de WireServer worden opgevraagd, ontdekten de onderzoekers op basis van eerder onderzoek van CyberCX.

Hackers die over command execution-privileges beschikken van een getroffen AKS-cluster, kunnen deze kwetsbaarheid uitbuiten om de configuratiedetails van de node te downloaden. Dat is inclusief de TLS bootstrap tokens die tijdens de eerste opstart van een Kubernetes-node worden gebruikt.

Vanwege de toegang tot de WireServer en een ‘HostGAPlugin’-endpoint, waren aanvallers vervolgens in staat de instellingen op te halen en te ontsleutelen voor meerdere extensies. Een voorbeeld hiervan is de ‘custom script expension’-dienst die wordt gebruikt voor het leveren van een VM, dat door hackers was in te stellen.

Nieuwe onverwachte securityproblemen

Microsoft heeft het probleem opgelost voordat de details van de kwetsbaarheid bekend waren gemaakt. Experts geven desondanks aan dat complexe moderne cloudomgevingen nog steeds onverwachte securityproblemen kunnen opleveren als deze.

Door het creëren van deze nieuwe cloudomgevingen wordt volgens hen het aanvalsoppervlak verder uitgebreid. Vaak zijn deze gevaren niet meteen duidelijk. Daarom moet nu aan elk mogelijk entry point worden gedacht, zelfs die waarvan tot nu toe het bestaan onbekend is.

Te nemen maatregelen

In het geval van de aangetroffen privilege escalation-kwetsbaarheid in AKS, waarschuwen experts dat bedrijven meteen alle AKS-configuraties moeten checken, vooral degenen die ‘Azure CNI’ gebruiken voor de netwerkconfiguratie en ‘Azure’ voor de network policies.

Verder moeten zij alle Kubernetes-secrets wijzigen, strenge securitymaatregelen voor pods doorvoeren en een robuuste logging en monitoring opzetten om verdachte activiteiten op te sporen.

Lees ook: Kubernetes 1.31 stuurt aan op cloudneutrale toekomst