جوجل قامت السحابة بتصحيح ثغرة أمنية ربما سمحت بذلك ضارة الجهات الفاعلة التي لديها إمكانية الوصول إلى مجموعة Kubernetes لرفع امتيازاتها وإحداث الفوضى.
وقالت الشركة في تقرير استشاري: “يمكن للمهاجم الذي قام باختراق حاوية تسجيل Fluent Bit أن يجمع هذا الوصول مع الامتيازات العالية التي تتطلبها Anthos Service Mesh (على المجموعات التي مكنتها) لتصعيد الامتيازات في المجموعة”.
“تم تخفيف المشكلات المتعلقة بـ Fluent Bit وAnthos Service Mesh وأصبحت الإصلاحات متاحة الآن. لا يمكن استغلال هذه الثغرات الأمنية بمفردها في GKE وتتطلب تسوية أولية.”
سرقة البيانات
تدعي Google أيضًا أنها لم تجد أي دليل على استغلال الثغرات الأمنية بشكل عام.
أما بالنسبة للإصلاحات، فهذه هي إصدارات Google Kubernetes Engine (GKE) وAnthos Service Mesh (ASM) المحمية:
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
تم اكتشاف الثغرة الأمنية لأول مرة بواسطة الوحدة 42، الأمن السيبراني ذراع شبكات بالو ألتو, أخبار الهاكر التقارير. وتقول الوحدة 42 في تقريرها إن العيوب يمكن استخدامها لسرقة البيانات، ونشر القرون الضارة، وتعطيل عمليات المجموعة. ومع ذلك، لكي ينجح الأمر، يحتاج المهاجم إلى الحصول على حاوية Fluent Bit التي تم اختراقها مسبقًا.
“يستخدم GKE Fluent Bit لمعالجة سجلات أعباء العمل التي تعمل على المجموعات،” يوضح Google كذلك. “تم أيضًا تكوين Fluent Bit على GKE لجمع السجلات لأحمال عمل Cloud Run. وقد أتاح تحميل وحدة التخزين التي تم تكوينها لجمع تلك السجلات وصول Fluent Bit إلى الرموز المميزة لحساب خدمة Kubernetes لوحدات Pod الأخرى التي تعمل على العقدة.”
بمعنى آخر، يمكن للمتسلل استخدام مجموعة Kubernetes مع تمكين ASM، ثم استخدام الرمز المميز لحساب خدمة ASM لإنشاء حجرة جديدة تتمتع بامتيازات مسؤول المجموعة، مما يؤدي إلى تصعيد امتيازاتهم بشكل فعال إلى أعلى مستوى.
وقال الباحث الأمني شاؤول بن هاي: “من المحتمل أن يكون حساب خدمة التحكم في التجميع العنقودي (CRAC) هو المرشح الرئيسي، حيث يمكنه إضافة أذونات عشوائية إلى أدوار المجموعة الحالية”. “يمكن للمهاجم تحديث دور المجموعة المرتبط بـ CRAC لامتلاك كافة الامتيازات.”