Google Kubernetes发现重大安全漏洞：任何 Gmail 帐户可控制集群

在研究人员发现许多组织（包括一家上市公司）的系统容易受到系统范围安全漏洞的影响后，谷歌修复了影响重要云服务的漏洞。

该漏洞影响Google Kubernetes Engine (GKE)，这是一个用于部署、扩展和管理应用程序“容器化”方式的系统。

GKE 是谷歌实施的开源 Kubernetes 项目，广泛应用于医疗保健、教育、零售和金融服务中的数据处理以及人工智能和机器学习操作。

Orca Security 的研究人员解释说，他们在 GKE 中发现一个漏洞（https://orca.security/resources/research-pod/sys-all-google-kubernetes-engine-risk-example/），“可能允许拥有任何 Google 帐户的攻击者接管配置错误的 Kubernetes 集群，从而可能导致严重的安全事件，例如加密货币挖矿、拒绝服务和敏感数据盗窃。”

据估计，多达 250,000 个活跃的 GKE 集群容易受到攻击。

该问题与权限有关，GKE 允许用户使用任何有效的 Google 帐户访问系统。Orca Security 表示，“当管理员决定将此组与过于宽松的角色绑定时，这会造成一个严重的安全漏洞。” 研究人员将该漏洞称为“Sys:All”。

Orca Security 表示，它进行了扫描，发现超过 1,300 个集群可能受到暴露。其中 100 多个已暴露到足以允许广泛访问。

他们指出：“Kubernetes 将其托管的容器化应用程序与各种不同类型的关键数据资产（例如数据库、代码存储库和其他第三方供应商）连接起来，这使其成为恶意行为者手中的毁灭性工具。”

容器化通过将应用程序的代码与其在任何计算基础设施上运行所需的所有其他内容（例如文件和库）捆绑在一起，为开发人员提供了构建和部署软件的灵活性。

一扇敞开的门

Orca Security 表示，至少其中一个暴露的集群属于一家纳斯达克上市公司，此次暴露将使黑客能够访问 Amazon Web Services 凭证，从而更深入地访问该公司的系统和数据。攻击者“可能会访问这些系统，提取或操纵敏感数据，破坏服务，甚至进一步进入网络。” 研究人员说。

Orca Security 表示，已向该公司报告了该问题，并与其合作解决漏洞，其中包括收紧权限、保护暴露的云存储桶等。

研究人员报告了他们发现的其他几位易受攻击的所有者的情况，并补充说，一般来说，组织“应该始终致力于身份和访问领域的粒度，因此他们不会向不需要的实体授予许可访问权限”。

他们还向谷歌报告了这个问题，谷歌告诉他们，谷歌认识到问题的严重性，并“积极采取预防措施和向客户发出通知，并继续采取行动确保客户的安全。”

谷歌发言人向 Recorded Future News 证实，它与 Orca Security 合作。该发言人指出，谷歌上周发布了一份安全公告（https://orca.security/resources/research-pod/sys-all-google-kubernetes-engine-risk-example/）， “针对数量有限的受影响的 GKE 用户，详细说明了他们应采取的措施，以保护自己免受任何意外授权”。

谷歌还通过直接消息向一些客户发送了上述公告。

“我们已经确定了几个集群，其中用户已向系统授予 Kubernetes 权限：经过身份验证的组，其中包括拥有 Google 帐户的所有用户。不建议使用这些类型的绑定，因为它们违反了最小权限原则，并向非常大的用户组授予访问权限。”谷歌在 1 月 19 日发布的公告中表示。

Orca Security 指出，谷歌认为这是“有意行为”，因为归根结底，这是一个用户可以阻止的分配权限漏洞，客户对其配置的访问控制负责。

研究人员支持谷歌的评估，即组织应该“承担责任，不要以带来安全风险和漏洞的方式部署其资产和权限”。

参考资料：https://therecord.media/google-kubernetes-engine-security-loophole-access-permissions