Container-Verifizierungs-Programmierfehler ermöglicht es bösartigen Bildern, Kubernetes zu trüben

Eine hochgradige Sicherheitslücke im Kyverno Admission Controller z. Hd. Container-Images könnte es böswilligen Akteuren geben, sehr viel schändlichen Codes in Cloud-Produktionsumgebungen zu importieren.

Jener Kyverno Admission Controller bietet vereinen Signaturverifizierungsmechanismus, jener sicherstellen soll, dass nur signierte, validierte Container-Images in vereinen bestimmten Kubernetes-Cluster gezogen werden. Dies kann eine Schlange von schlechten Ergebnissen supprimieren, da mit Sprengfallen versehene Container-Images so unterschiedliche Nutzlasten wie Kryptominer, Rootkits, Exploit-Kits z. Hd. Containerflucht und seitliche Fortbewegung, Berechtigungsdiebstahl und mehr enthalten können.

Jener Fehler (CVE-2022-47633) kann jedoch ausgenutzt werden, um diesen Zusammenhang zu unterlaufen. „Die Schwachstelle ermöglicht es einem Angreifer … unsignierte Bilder in den geschützten Cluster zu injizieren und hier die Richtlinie zur Bildüberprüfung zu umgehen“, erklärten Forscher von ARMO in einem Blogbeitrag vom 21. Monat der Wintersonnenwende. Es steht viel aufwärts dem Spiel: Jener Angreifer kann effektiv die Leistungsnachweis droben a übernehmen Pod des Opfers und verwenden Sie leer seine Assets und Anmeldeinformationen, einschließlich des Dienstkonto-Tokens, um aufwärts den API-Server zuzugreifen, warnten sie.

„Die Schwachstelle ermöglicht eine vollständige Umgehungsstraße jener Bildsignaturüberprüfung. Im Sachverhalt eines Kubernetes-Clusters bietet dies einem Offensive eine Vielzahl von Zielen. Jede Arbeitslast kann Cluster-Geheimnisse und Datenmengen aufhäufen“, Ben Hirschberg, CTO und Mitbegründer von ARMO, erzählt Dark Reading. „Dasjenige bedeutet, dass jener Angreifer Kennung einschmuggeln kann, jener Wissen und Zugangsdaten aus dem Kubernetes-Cluster des Opfers stehlen kann. Im Zuge dessen kann jener Angreifer nicht zuletzt seinen eigenen Kennung einschmuggeln und die CPU des Opfers z. Hd. Pipapo wie dies Schürfen von Kryptowährungen verwenden.“

Inside the Programmierfehler: Subverting the Container Admission Controller

Wenn eine neue Workload, die droben ein Image mit einem Tag definiert ist, von einem Kubernetes-API-Server angefordert wird, fordert jener API-Server den Kyverno Admission Controller aufwärts, die neue Workload zu validieren. Um zu forcieren, ob eine Workload zum Cluster zugelassen werden kann, fordert jener Zugangscontroller dies Image-Manifest und eine Signatur von jener Containerregistrierung an.

Wenn sie auschecken, erhält dies Image grünes Licht und die Container-Spielzeit startet eine neue Workload basierend aufwärts diesem Image.

Die Schwachstelle entsteht, weil jener Signaturvalidierungsprozess des Controllers dies Bildmanifest zweimal herunterlädt – laut Advisory jedoch nur eine Signatur z. Hd. vereinen jener Downloads verifiziert.

Jener Offensive sieht mithin so aus: Ein Administrator wird so manipuliert, dass er ein Container-Image von einer bösartigen Registrierung oder einem Proxy abruft. Wenn dies Image zum ersten Mal importiert wird, gibt die bösartige Registrierung ein gültiges, gutartiges, signiertes Image an den Zugangscontroller zurück. So weit, ist es gut.

Dann fordert jener Zugangscontroller dies Manifest des signierten Abbilds jedoch ein zweites Mal an, um den Digest z. Hd. die Wandlung zu erhalten – dh um dies z. Hd. Menschen lesbare Tag des Containers zu auf den neuesten Stand bringen. Dieses Mal findet keine Signaturvalidierung statt, sodass die bösartige Registrierung ein anderes, nicht signiertes und bösartiges Image zurückgeben kann, dies letztendlich dasjenige ist, dies hochgefahren und umgesetzt wird.

„Dasjenige ist ein klassisches Paradigma z. Hd. a [time-of-check-to-time-of-use] TOCTOU-Problem, dies es dem Angreifer ermöglicht, vereinen Köder zu ziehen“, so die Fazit von ARMO .”

Die Schwachstelle wurde in Version 1.8.3 eingeführt und in Version 1.8.5 behoben; Kyverno-Benutzer sollten so schnell wie möglich auf den neuesten Stand bringen. Jener Patch stellt sicher, dass zum Ändern jener Workload-Spezifikation derselbe Image-Hash verwendet wird, jener zum Verifizieren jener Signatur verwendet wurde.

Solche spezifische Schwachstelle betrifft nur Kubernetes mit Kyverno, zwar andere Bildsignatur-Verifizierungstools zu tun sein darauf verfemen, nicht z. Hd. dieselbe Methode unstet zu sein, warnte Hirschberg.

Social Engineering eines böswilligen Container-Angriffs

Um vereinen realen Offensive durchzuführen, können Bedrohungsakteure entweder kompromittierte Konten in bestehenden Registrierungen verwenden, um bösartige Bilder zu hosten, oder sie können ihre eigene private Container-Registrierung hinstellen und dann vereinen Administrator davon überzeugen, ihr zu vertrauen.

Basta praktischer Sicht ist „dies Erstellen einer bösartigen Registrierung z. Hd. vereinen erfahrenen Angreifer keine Herausforderung“, sagt Hirschberg. „Ein Angreifer kann jede Open-Source-Registrierungssoftware nehmen, wenige geringfügige Änderungen vornehmen, damit jener Offensive funktioniert, und sie in jener Cloud unter einer benutzerdefinierten Schulfach schmeißen.“

Jener nächste Schritttempo besteht darin, vereinen Administrator davon zu überzeugen, dem schädlichen Container zu vertrauen, welches nicht zuletzt nicht so schwierig ist. Container-Images von Drittanbietern werden zig-mal verwendet, um vorgefertigte Anwendungen zu prosperieren, homolog wie App-Entwickler vorgefertigte Codeblöcke aus offenen Repositories wie npm beziehen – die Idee ist, dies Rad z. Hd. gemeinsame Funktionen und Dienstprogramme nicht neu erfinden zu zu tun sein.

Hirschberg merkt an, dass nur ein Bruchteil jener Kubernetes-Benutzer Beschränkungen darüber nach sich ziehen, woher sie Container-Workloads ziehen können, sodass Cloud-Administratoren wahrscheinlich nicht sofort aufwärts jener Hut sein werden, wenn es um die Verwendung von Registrierungen von Drittanbietern geht – insbesondere, wenn sie eine Image-Signatur-Verifizierung nach sich ziehen Ort.

„Jener Angreifer könnte Phishing betreiben und in mehreren Foren eine Mitteilung veröffentlichen, dass es eine neue Version jener Software XYZ gibt, und hier sind Kubernetes YAML oder Sturzhelm, um sie auszuführen“, erklärt er. “Da sich wenige Personen durch die Validierung jener Bildsignatur geschützt wahrnehmen, wäre ihre Wachsamkeit herabgesetzt und sie hätten keine Angstgefühl, dies Portrait auszuführen.”

Containersicherheit: Ein zunehmendes Problem

Container sind ein gutes Ziel z. Hd. Cyberkriminelle, da sie meistens in jener Cloud mit Zugriff aufwärts viele Rechenressourcen laufen, die wertvoll und teuer sind, betont Hirschberg – so können Angreifer Rechenressourcen und Wissen stehlen, während sie taktgesteuert unbemerkt bleiben relativ langer Zeitraum.

„Wir nach sich ziehen keine genauen Statistiken, zwar es ist sehr lichtvoll, dass dies mit jener breiten Tutorial von Containern zu einem immer häufiger auftretenden Problem wird“, sagt er. „Sicherheitsteams lernen, damit umzugehen, und Kubernetes im Allgemeinen. meine Wenigkeit glaube nicht, dass es ein echter ‚blinder Punkt‘ ist, zwar Container-Sicherheitsteams lernen immer noch die gesamte Umgebung mit vielen vernachlässigten Bereichen.“

Da sich die Validierung jener Bildsignatur noch in einem frühen Stadium befindet, stellen Zugangskontrolleure vereinen dieser unter Umständen vernachlässigten Bereiche dar. Andererseits sie sind nicht zuletzt Teil einer breiteren Diskussion droben die Sicherheit von Lieferkettensoftware, die ins Rampenlicht gerückt werden sollte.

„Jener SolarWinds-Offensive hat jener Welt gezeigt, wie heikel dieses Problem ist, wenn es drum geht, jener Sicherheit von externem Kennung zu vertrauen“, sagt Hirschberg. „Kyverno gehört zu den ersten Sicherheitstools, die eine Signaturvalidierung implementieren, und mit neuen Funktionen können neue Fehler entstehen. Hoffentlich macht solche Erkenntnis diesen Zusammenhang sicherer und hilft jener Industrie, dies Problem jener Validierung von Software in Kubernetes zu erobern.“