Sys:All – захват кластера Kubernetes через аккаунт Google

Свобода в один клик! VPN через Телеграмм-бот для России:

Неправильная конфигурация позволяет любому пользователю внедрить троян в кластер.

ИБ-компания Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE), которая позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.

Согласно отчету Orca Security, проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Группа system:authenticated — это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google. Проблема может иметь серьезные последствия, поскольку администраторы могут ненароком предоставить этой группе излишне широкие полномочия.

Особую опасность представляют внешние злоумышленники, которые могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» (Denial of Service, DoS) и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace.

VPN для России через Телеграмм – обеспечь доступ к любым ресурсам!

Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.

Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.

  Это птица? Это самолёт? Нет, это замаскированный военный дрон Evolution Eagle

Кроме того, Google включила правила обнаружения в Event Threat Detection и превентивные правила Policy Controller. Всем пользователям GKE, у которых есть привязки к этим группам, были отправлены уведомления по электронной почте с просьбой пересмотреть свои конфигурации.

Исследователи Orca предупреждают, что, несмотря на улучшения от Google, остается множество других ролей и разрешений, которые могут быть назначены группе system:authenticated. Поэтому организациям следует убедиться, что группа не обладает излишними привилегиями, чтобы избежать возможных угроз.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Купить VPN в России означает приобретение услуги виртуальной частной сети (VPN), которая обеспечивает безопасное и анонимное подключение к интернету с территории России. Это может быть особенно актуально в свете ограничений и блокировок, применяемых к определённым ресурсам в стране.

Зачем нужен VPN в России?

  • VPN позволяет получить доступ к заблокированным сайтам и сервисам, таким как социальные сети, стриминговые платформы и другие ресурсы.
  • Использование VPN помогает скрыть ваш IP-адрес и шифровать интернет-трафик, что защищает ваши данные от перехвата.
  • VPN помогает сохранить анонимность при серфинге, предотвращая отслеживание вашей интернет-активности как интернет-провайдерами, так и третьими лицами.
  • VPN защищает ваши данные при подключении к общественным Wi-Fi, минимизируя риск кражи информации.

Комментарии

Добавить комментарий