GoogleKubernetes安全漏洞可能会让拥有Gil帐户的任何人危害您的业务
专家透露,GoogleKubernetesEngine(GKE)存在一个漏洞,几乎任何拥有Gil帐户的人都可以接管Kubernetes集群。
Orca的网络安全研究人员爆料称,该漏洞被命名为Sys:All,并声称一百万个活跃GKE集群中有四分之一可能容易受到该漏洞的影响。
问题在于,许多人错误地相信了该系统:研究人员OfirYakobi告诉TheHackerNews,GoogleKubernetesEngine中的身份验证组仅包含经过验证和确定性的身份。事实上,任何经过Google验证的帐户就足够了。
正如报告中所解释的,系统:经过身份验证的组包括经过身份验证的实体、人员和服务帐户等。这意味着威胁参与者可以使用GoogleOAuth2.0不记名令牌并获得对集群的控制权。该控制随后可用于部署各种恶意软件、在整个网络中移动或从端点窃取敏感数据。
此外,受害组织无法将攻击追溯到特定的Gil或GoogleWorkspace帐号。《黑客新闻》报道称,“许多组织”可能会受到调查结果的影响,不同类型的敏感数据可能面临风险。其中包括JWT令牌、GCPAPI密钥、AWS密钥、GoogleOAuth凭证、私钥和容器注册表的凭证。
消息传出后不久,Google就采取措施阻止将system:authentiated组绑定到GKE中的cluster-admin角色。这些步骤适用于1.28及以后的版本。
“为了帮助保护您的集群免受利用集群管理员访问错误配置的大规模恶意软件攻击,运行1.28版及更高版本的GKE集群不允许您将集群管理员ClusterRole绑定到system:anonymous用户或system:unauthenticated或系统:经过身份验证的团体,”这家云巨头在其公告中表示。
标签: