Google Cloud 已对其平台中可能对 Kubernetes 集群构成风险的中等严重安全漏洞做出了迅速响应。该漏洞由Palo Alto Networks Unit 42发现并报告,有可能被已经有权访问 Kubernetes 集群的攻击者利用,特别是针对Fluent Bit日志记录容器。
如果滥用此缺陷,攻击者可能会在集群内升级其权限,从而导致潜在威胁,例如数据盗窃、部署恶意 Pod和中断集群运行。Google Cloud 已在最新版本的 Google Kubernetes Engine (GKE) 和 Anthos Service Mesh (ASM) 中解决了该问题,消除了与此漏洞相关的风险。
有权访问受损 Fluent Bit 日志记录容器的攻击者可能会在集群中获得升级的权限
Google Cloud在 2023 年 12 月 14 日发布的公告中披露了该安全漏洞,并提供了潜在利用场景的详细信息。根据该通报,入侵 Fluent Bit 日志记录容器的攻击者可以利用此访问权限以及 Anthos Service Mesh(在已启用的集群上)所需的高权限来提升其在 Kubernetes 集群中的权限。
这可能会为各种不良活动打开大门,其中不仅包括数据盗窃,还包括对集群正常运行的干扰。目前没有证据表明不良行为者在野外滥用该缺陷。不过,除了向 Workspace 用户提供更多云存储之外,Google Cloud 还采取了主动措施来纠正受影响版本的 Google Kubernetes Engine 和 Anthos Service Mesh 中的问题。
GKE 版本为 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000、1.28.4-gke.1083000,以及 1.17.8-asm.8、1.18.6-asm .2、1.19.5-asm.4为ASM解决了安全漏洞。
Google Cloud 已删除 Fluent Bit 对服务帐户令牌的访问权限,并消除了 RBAC,解决了安全漏洞
Google Cloud 解释说,开发人员已在 GKE 上配置 Fluent Bit 来收集 Cloud Run 工作负载的日志。据 TheHackerNews 报道,这种安排授予 Fluent Bit 访问节点上其他 Pod 的 Kubernetes 服务帐户令牌的权限。它为攻击者提供了潜在的切入点。
为了解决该安全漏洞,Google Cloud 删除了 Fluent Bit 对服务帐户令牌的访问权限,并重新架构了 Anthos Service Mesh 的实用程序,以消除过多的基于角色的访问控制 (RBAC) 权限。该修复旨在通过排除潜在的权限升级场景来增强 Google Cloud 上 Kubernetes 集群的整体安全状况。