工具安全漏洞允许攻击者在主机上运行代码

Kubernetes项目今天修补了一个危险的安全漏洞，该漏洞可能允许攻击者在主机上运行智能黑客代码。

该漏洞不会影响Kubernetes系统本身，但会影响kubectl(Kube control)，它是用于处理Kubernetes安装的官方命令行实用程序。

安全研究人员在kubectl cp(复制)操作中发现了一个安全漏洞，该操作用于将文件从容器传输到用户的主机。

黑客可以通过复制来执行代码。

“为了从容器中复制文件，Kubernetes在容器内运行tar以创建tar存档，通过网络复制，Kubernetes将其解压缩到用户的机器上，”Kubernetes产品安全委员会成员Joel Smith说。

“如果容器中的tar二进制文件是恶意的，它可以运行任何代码并输出意外的恶意结果。当kubectl cp被调用时，攻击者可以使用它将文件写入用户电脑上的任何路径，这只是受到本地用户的系统权限的限制，”他说。

利用这个漏洞并不容易，因为攻击者需要先将恶意文件放入Kubernetes容器中，然后等待Kubernetes管理员将这些文件转移到他的系统中。

恶意文件将被自动执行；但是，这种攻击也要靠运气和一点社会工程学。

黑客可能会导致完全的妥协。

尽管如此，StackRox的联合创始人兼产品副总裁Wei Lien Dang认为这个漏洞非常危险。

“这个漏洞令人担忧，因为它将允许攻击者覆盖敏感的文件路径或添加恶意程序文件，然后使用这些文件来破坏Kubernetes环境的重要部分，”魏上周在一封电子邮件中告诉ZDNet。

“这种类型的漏洞利用客户端漏洞来潜在地破坏生产环境，特别是因为我们观察到减轻这种威胁媒介的最佳实践并不总是得到遵循。

“例如，用户可能在生产节点上运行kubectl，或者没有适当的基于角色的访问控制来限制对整个群集的访问，或者使用提升的本地系统权限，”Wei补充道。

“此外，修复，即升级到kubectl的最新版本，可能更难执行，因为它取决于个人用户这样做，”StackRox高管说。

现在漏洞已经打了两次补丁了。

该漏洞被跟踪为CVE-2019-11246，由Atredis Partners的Charles Holmes发现，并被发现是云原生计算基金会赞助的安全审计的一部分。

“这个漏洞源于之前披露的漏洞(CVE-2019-1002101)的不完全修复，”魏说，并指出该漏洞于今年3月首次修复。

“这个漏洞的细节与CVE-2019-1002101非常相似。这个问题的原始修复是不完整的，已经发现了一种新的利用方法，”史密斯说。

建议运行自己的Kubernetes安装的公司和开发人员将kubectl和Kubernetes升级到1.12.9、1.13.6或1.14.2或更高版本。

运行kubectl版本-客户端。如果它没有显示客户端版本1.12.9、1.13.3或1.14.2或更高版本，请运行易受攻击的版本。

谷歌云K8S也容易受到攻击。

在今天的安全公告中，谷歌云管理员表示“谷歌Kubernetes引擎(GKE) gcloud的所有版本都受到该漏洞的影响。我们建议您在GCloud可用时升级到最新的补丁版本。”

目前这个补丁还没有出来。

“即将发布的补丁版本将包括缓解这一漏洞，”谷歌表示。建议Google cloud客户密切关注与kubectl相关的安全修复的工具更新日志。

标签：