Palo Alto Networks ontdekt Kubernetes-kwetsbaarheid

30-07-2020 | door: Redactie

Palo Alto Networks ontdekt Kubernetes-kwetsbaarheid

Unit 42, het threat intelligence team van Palo Alto Networks, heeft een beveiligingsprobleem ontdekt in de kube-proxy, een netwerkcomponent die op Kubernetes-knooppunten draait, dat aan CVE-2020-8558 is toegewezen. Het probleem bracht interne services van Kubernetes-knooppunten naar voren, die vaak zonder verificatie worden uitgevoerd. Bij bepaalde Kubernetes-implementaties had dit de api-server kunnen blootleggen, waardoor een niet-geverifieerde aanvaller volledige controle over het cluster kon krijgen. Een aanvaller met dit soort toegang kan informatie stelen, crypto-miners inzetten of bestaande services helemaal verwijderen.

Door de kwetsbaarheid worden de localhost-services van knooppunten blootgelegd - services die alleen toegankelijk zijn vanaf het knooppunt zelf - voor hosts op het lokale netwerk en voor pods die op het knooppunt worden uitgevoerd. Localhost-gebonden services verwachten dat alleen vertrouwde, lokale processen ermee kunnen communiceren en dus vaak zonder authenticatie verzoeken kunnen uitvoeren. Als knooppunten van gebruikers localhost-services uitvoeren zonder authenticatie af te dwingen, zijn ze getroffen.

De details van het probleem werden openbaar gemaakt op 18 april 2020 en er werd een patch uitgebracht op 1 juni 2020. Unit 42 heeft gewerkt aan het beoordelen van de extra impact op Kubernetes-clusters en ontdekte dat sommige Kubernetes-installaties de api-server insecure-port niet uitschakelen. Deze is normaal gesproken alleen toegankelijk vanuit het hoofdknooppunt. Door gebruik te maken van CVE-2020-8558 kunnen aanvallers toegang krijgen tot de onveilige poort en volledige controle krijgen over het cluster.

Unit 42 heeft het Kubernetes-beveiligingsteam gewaarschuwd voor de mogelijke impact van dit beveiligingslek. Het team beoordeelde op zijn beurt de impact van de kwetsbaarheid als Hoog in clusters waar de onveilige poort van de api-server is ingeschakeld, en anders Medium. Gelukkig is de impact van CVE-2020-8558 enigszins verminderd op de meeste gehoste Kubernetes-services zoals Azure Kubernetes Service (AKS), Amazon's Elastic Kubernetes Service (EKS) en Google Kubernetes Engine (GKE). CVE-2020-8558 is gepatcht in Kubernetes-versies v1.18.4, v1.17.7 en v1.16.11 (uitgebracht op 17 juni 2020). Alle gebruikers worden aangemoedigd om te patchen.

Terug naar nieuws overzicht
Security