Google Cloud hat schnell auf eine Sicherheitslücke mittlerer Schwere in seiner Plattform reagiert, die ein Risiko für Kubernetes-Cluster darstellen könnte. Die von Palo Alto Networks Unit 42 entdeckte und gemeldete Schwachstelle kann von einem Angreifer ausgenutzt werden, der bereits Zugriff auf einen Kubernetes-Cluster hat, und zwar insbesondere auf den Fluent Bit-Protokollierungscontainer.
Wenn dieser Fehler missbraucht wird, kann der Angreifer seine Berechtigungen innerhalb des Clusters ausweiten, was zu potenziellen Bedrohungen wie Datendiebstahl, der Bereitstellung bösartiger Pods und der Unterbrechung des Clusterbetriebs führen kann. Google Cloud hat das Problem in den neuesten Versionen von Google Kubernetes Engine (GKE) und Anthos Service Mesh (ASM) gelöst und damit das mit dieser Schwachstelle verbundene Risiko beseitigt.
Ein Angreifer mit Zugriff auf einen kompromittierten Fluent Bit-Protokollierungscontainer könnte über erweiterte Berechtigungen im Cluster verfügen
Google Cloud hat die Sicherheitslücke in einem am 14. Dezember 2023 veröffentlichten Advisory offengelegt und Einzelheiten zum möglichen Ausnutzungsszenario dargelegt. Der Empfehlung zufolge kann ein Angreifer, der den Fluent Bit-Protokollierungscontainer kompromittiert hat, diesen Zugriff zusammen mit den hohen Berechtigungen, die Anthos Service Mesh (auf aktivierten Clustern) erfordert, nutzen, um seine Berechtigungen innerhalb des Kubernetes-Clusters zu erweitern.
Dies könnte Tür und Tor für verschiedene schädliche Aktivitäten öffnen, zu denen nicht nur Datendiebstahl, sondern auch Störungen des normalen Betriebs des Clusters gehören. Derzeit gibt es keine Hinweise darauf, dass ein schlechter Schauspieler diesen Fehler in freier Wildbahn missbraucht. Neben der Bereitstellung von mehr Cloud-Speicher für Workspace-Benutzer hat Google Cloud jedoch proaktive Maßnahmen ergriffen, um das Problem in den betroffenen Versionen von Google Kubernetes Engine und Anthos Service Mesh zu beheben.
Die Versionen 1.25.16-gke.1020000, 1.26.10-gke.1235000, 1.27.7-gke.1293000, 1.28.4-gke.1083000 für GKE und 1.17.8-asm.8, 1.18.6-asm .2, 1.19.5-asm.4 für ASM beheben die Sicherheitslücke.
Google Cloud hat Fluent Bit den Zugriff auf Dienstkonto-Tokens entzogen und RBAC eliminiert, um die Sicherheitslücke zu schließen
Google Cloud erklärte, dass die Entwickler Fluent Bit auf GKE konfiguriert hatten, um Protokolle für Cloud Run-Arbeitslasten zu sammeln. Diese Vereinbarung gewährte Fluent Bit Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods auf dem Knoten, wie von TheHackerNews berichtet. Es bot einen potenziellen Einstiegspunkt für Angreifer.
Um die Sicherheitslücke zu schließen, hat Google Cloud den Zugriff von Fluent Bit auf Dienstkonto-Tokens entfernt und das Dienstprogramm von Anthos Service Mesh neu strukturiert, um übermäßige rollenbasierte Zugriffskontrollberechtigungen (Role-Based Access Control, RBAC) zu beseitigen. Ziel des Fixes ist es, die allgemeine Sicherheitslage von Kubernetes-Clustern in Google Cloud zu verbessern, indem potenzielle Privilegieneskalationsszenarien vermieden werden.
