آسیب‌پذیری موجود در Kubernetes امکان دسترسی به منابع سفارشی را فراهم می‌کند

آسیب‌پذیری موجود در سیستم هماهنگی کانتینر Kubernetes به کاربران اجازه می‌دهد تا منابع سفارشی را بخوانند، اصلاح و یا حذف کنند. این آسیب‌پذیری امنیتی که با شناسه‌ی CVE-2019-11247 ردیابی می‌شود به این دلیل به وجود می‌آید که یک سرور API از محدوده‌های اشتباه دسترسی به منابع را فراهم می‌کند.

جوئل اسمیت از Kubernetes تشریح می‌کند که مجوزها و تأییدهای مربوط به منابعی که با این روش دسترسی به آن‌ها اعطا می‌شود، بااستفاده از نقش‌ها و بایند کردن نقش‌ها در فضای نام اعمال می‌شود.

با وجود این آسیب‌پذیری، کاربری با دسترسی به یک منبع در یک فضای نام می‌‌تواند منبع کلاستر را ایجاد، مشاهده و یا حذف کند. به‌گفته‌ی StackRox، کلاسترهایی که از Custom Resource Definition (CRDs) استفاده نمی‌کنند، تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند. بااین‌حال، CRDها یک مؤلفه‌ی مهم برای بسیاری از پروژه‌های بومی Kubernetes هستند و بسیاری از کاربران به‌شدت تحت تأثیر قرار می‌گیرند.

کلاسترهایی که بدون Kubernetes RBAC اجرا می‌شوند تحت تأثیر قرار نگرفته‌اند، اما عدم استفاده از Kubernetes RBAC خطر بیشتری نسبت به این آسیب‌پذیری ایجاد می‌کند. اگرچه آسیب‌پذیری CVE-2019-11247 با شدت متوسط ارزیابی شده است، هنگامی که منابع سفارشی برای مدیریت عملکرد مربوط به کلاستر یا امنیت برنامه استفاده می‌شوند، تهدید جدی ایجاد می‌کنند.

مسأله‌ی امنیتی دوم با شناسه‌ی CVE-2019-11249 ردیابی می‌شود و شامل وصله‌هایی ناقص برای دو آسیب‌پذیری دیگر یعنی CVE-2019-1002101 و CVE-2019-11246 و پیمایش مسیر پنهانی kubectl cp  است.

این آسیب‌پذیری به یک کانتینر مخرب اجازه می‌دهد زمانی‌که کلاینت از عملیات kubectl cp استفاده می‌کند، یک فایل را در رایانه‌ی کلاینت ایجاد یا جایگزین کند. این آسیب‌پذیری یک نقص طرف کلاینت است و برای بهره‌برداری از آن نیازی به تعامل با کاربر نیست. به همه‌ی کاربران توصیه می‌شود که همه‌ی کلاسترهای Kubernetes و کلاینت‌های kubectl را به یک نسخه‌ی وصله‌شده ارتقاء دهند.

منبع

پست‌های مشابه

Leave a Comment