Критическая Уязвимость GKE, Google Cloud Провела Быстрый Ремонт

Специалисты Google Cloud успешно устранили уязвимость в Google Kubernetes Engine (GKE), которая могла быть использована злоумышленником для несанкционированного повышения своих привилегий при наличии доступа к кластеру Kubernetes.

Данная уязвимость связана с компрометацией контейнера Fluent Bit, который, будучи скомпрометированным, мог использоваться для объединения доступа с более высокими привилегиями, необходимыми для Anthos Service Mesh (в кластерах, где это доступно). Такой подход позволял злоумышленнику повышать свои привилегии в кластере.

Основным условием успешной эксплуатации уязвимости является предварительная компрометация Fluent Bit, что требовало бы от атакующего использовать другие методы для достижения этой цели.

Исследователи Palo Alto Networks, обнаружившие эту уязвимость, предупредили, что злоумышленники могли бы использовать ее для кражи данных, развертывания вредоносных подов и нарушения работы кластера.

Google пояснил, что GKE использует Fluent Bit для обработки логов рабочей нагрузки в кластерах, а также для сбора логов рабочей нагрузки для Cloud Run. Это предоставляло Fluent Bit доступ к токенам сервисных аккаунтов Kubernetes для других подов, запущенных на узле.

В результате уязвимость была успешно устранена в последних версиях Google Kubernetes Engine (GKE) и Anthos Service Mesh (ASM), включая:

• 25.16-gke.1020000
• 26.10-gke.1235000
• 27.7-gke.1293000
• 28.4-gke.1083000
• 17.8-asm.8
• 18.6-asm.2
• 19.5-asm.4

В своих действиях по устранению уязвимости Google отозвала доступ Fluent Bit к токенам и перестроила функциональность Anthos Service Mesh так, чтобы избежать избыточных разрешений RBAC. Пока что не было выявлено никаких признаков эксплуатации проблемы хакерами