Kubernetes用户权限提升漏洞所暴露的安全隐患

访客4年前关于黑客接单738

近日,Kubernetes的开源容器软件中发现了一个关键的用户权限提升漏洞(CVE-2018-1002105),该软件是当今大部分云基础架构的固定组件。此漏洞可以让攻击者不受限远程访问,窃取数据或致使生产应用程序崩溃。
此漏洞CVSS评分为9.8,也是Kubernetes首次被发现的重大漏洞。黑客可以通过发送特殊处理过的请求,建立Kubernetes API服务器与访问聚合API服务器的连接。一旦连接建立,就不再需要检查发送给聚合API服务器的任何请求,意味着可以提升权限对任何聚合API服务器端点进行API调用,以及对该聚合API服务器执行任何API请求(例如Pod的创建以及执行任意命令并获得返回结果)。 在默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此权限提升的API调用。
在实际生产应用中,Kubernetes属于大型框架服务, 影响面会比较广泛,这个问题尤其令人担忧。Kubernetes采用的是Linux容器编排(container orchestration)的事实标准(de facto standard),它使在云中编排容器化的应用程序成为可能,支持由数百甚至数千个“简单”服务组成的组合服务。与传统应用程序相比,这些经过编排的应用程序通常更灵活,更易管理和维护。但是,这种架构也意味着恶意访问一个有漏洞的API服务器时,其所有子服务都是开放的。因此,攻击者可以深入访问云基础架构执行恶意操作,包括数据盗窃、安装恶意软件、间谍和侦察、或更改workloads以进行破坏。
Sumo Logic 公司的CSO George Gerchow表示:
Kubernetes此项漏洞所带来的影响会留有深患。Kubernetes的优势在于它的基本速度、编排、自动化和规模。当出现安全问题时,由于攻击易于扩散,这些特性都会轻易遭到损害。
Kubernetes已发布解决该漏洞的更新(v1.10.11,v1.11.5和v1.12.3);个人发行版需要自行更新。Red Hat已升级其OpenShift容器平台(此处已修补版本);用户可以访问Debian和SUSE发行版的安全跟踪器页面,以获取有关Kubernetes补丁程序的最新信息。
对于大多数组织机构来说,容器安全才刚刚开始出现在视野里。大多数拥有此类部署的企业组织无法为保护云原生应用做好充分准备。例如,在StackRox最近的一项调查中,超过三分之一的机构担心他们的安全策略不能充分解决容器安全问题;另有15%的人认为他们的战略中没有对容器安全的威胁起到足够重视,尤其是对Kubernetes的部署。
Gerchow指出:
众所周知,新兴技术永远将安全性视为事后考虑因素,所以安全行业的专业人士都希望容器缺陷能尽早暴露。从更长远的角度来看,这是开发团队和安全团队需要进行更好协作的另一个佐证——如何通过DevSecOps在维护敏捷性的同时建立防御和更佳实践。总的来说,大多数组织在对其容器、CI/CD管道的安全性和配置上都显得相当短视。
Gerchow补充说,
考虑到当今企业IT基础设施中API的普遍性,保护它们应是重中之重。API使得商业互通更为顺畅,我们预计在未来API会持续爆炸式增长——尤其在现代响应式应用程序,移动应用程序和B2B应用中。即使API存在新的风险,未被以前的应用程序涵盖到,但是应用程序安全性几乎是通用的,保护API应该是每个使用API的组织的重点。
API问题最近频繁出现在新闻头条,比如不久前美国邮政总局和亚马逊网站出现漏洞,两者都是API的不当使用造成的问题。

相关文章

qq付费群,轻松月入上万

qq付费群,轻松月入上万

自从腾讯在2018年Q2财报中,公开QQ用户遭遇13年来首次负增长之后,网友一直好奇,腾讯如何让这个月活用户8.03亿的国民社交软件重焕新春。 近日,腾讯为QQ上线了一项新功能,允许创建成员多达30...

黑客通常为收到订单支付多少钱?专业黑客会先做事然后付钱

国内的互联网向来缺乏创新模式,但从来不缺乏抄袭模式,特别是在所谓的Web2.0的时代,抄袭国外互联网的模式显得尤为突出,竟似乎已成为一种潮流。 Twitter火了,于是国内“饭否”、“叽歪”、“滔滔”...

黑客帝国2经典语录双语(黑客帝国2名场面)

黑客帝国2经典语录双语(黑客帝国2名场面)

50句经典电影台词(50句经典电影对白) 你要尽全力保护你的梦想。那些嘲笑你梦想的人,他们注定失败,他们想把你变成和他们一样。我坚信,只要心中有梦想,我就会与众不同。你也是。——《当幸福来敲门》02...

黑客改成绩安全吗要钱吗,黑客技术人员联系方式

黑客改成绩安全吗要钱吗,黑客技术人员联系方式

一、改成绩安全吗要钱吗黑客接单流程 1、怎么让自己成为手机接单黑客什么样的人?答案很简单。他们是我们常说的信息窃贼。这些人致力于破译密码。改成绩安全吗要钱吗技术人员联系方式LinusTorvalds于...

怎样训狼狗服从主人(优秀狼狗都是怎么训练出

怎样训狼狗服从主人(优秀狼狗都是怎么训练出

狼狗属于犬类的一种,这是一种外形上长得跟狼很相像的动物。狼狗的性格比较凶猛、警觉,是看家护院的好帮手。但是虽然天性警觉,主人们仍需要通过训练来激活它身上的一些优点。那么,狼狗要怎么训练好呢? 狼狗的...

qq黑客版下载,安卓 密码 破解 黑客软件,先办事黑客在线接单

6现在Android Q用户会经过设置面版来启用或封闭WiFi,这是一个答应app来在app内向用户显现设置的API。 正常情况下的ARP恳求与应对:四、 被进犯的设备品种不断扩大装置依靠库陈述显现,...