اكتشف الباحثون هجوم TLS Bootstrap على مجموعات Azure Kubernetes
كشف باحثو الأمن السيبراني عن خلل أمني يؤثر على خدمات Microsoft Azure Kubernetes، والذي، إذا تم استغلاله بنجاح، قد يسمح للمهاجم بتصعيد امتيازاته والوصول إلى بيانات الاعتماد للخدمات التي تستخدمها المجموعة.
“يمكن للمهاجم الذي لديه تنفيذ الأمر في Pod الذي يعمل ضمن مجموعة خدمات Azure Kubernetes المتأثرة تنزيل التكوين المستخدم لتوفير عقدة المجموعة، واستخراج الرموز المميزة للتمهيد لأمان طبقة النقل (TLS)، وتنفيذ هجوم تمهيد TLS لقراءة جميع الأسرار داخل المجموعة”، شركة Mandiant المملوكة لشركة Google قال.
تبين أن المجموعات التي تستخدم “Azure CNI” لـ “تكوين الشبكة” و”Azure” لـ “سياسة الشبكة” متأثرة بخطأ تصعيد الامتيازات. قامت Microsoft منذ ذلك الحين بمعالجة المشكلة بعد الكشف المسؤول.
تعتمد تقنية الهجوم التي ابتكرتها شركة استخبارات التهديدات على الوصول إلى مكون غير معروف يسمى Azure WireServer لطلب مفتاح يستخدم لتشفير قيم الإعدادات المحمية (“wireserver.key”) واستخدامه لفك تشفير برنامج نصي للتوفير يتضمن العديد من الأسرار مثل على النحو التالي –
- KUBELET_CLIENT_CONTENT (مفتاح TLS للعقدة العامة)
- KUBELET_CLIENT_CERT_CONTENT (شهادة TLS للعقدة العامة)
- KUBELET_CA_CRT (شهادة Kubernetes CA)
- TLS_BOOTSTRAP_TOKEN (رمز مصادقة TLS Bootstrap)
“يمكن فك تشفير KUBELET_CLIENT_CONTENT وKUBELET_CLIENT_CERT_CONTENT وKUBELET_CA_CRT باستخدام Base64 وكتابتها على القرص لاستخدامها مع أداة سطر أوامر Kubernetes kubectl للمصادقة على المجموعة،” قال الباحثون نيك ماكليندون ودانيال ماكنمارا وجاكوب بولوس.
“يحتوي هذا الحساب على الحد الأدنى من أذونات Kubernetes في مجموعات خدمة Azure Kubernetes (AKS) التي تم نشرها مؤخرًا، ولكن يمكنه بشكل خاص إدراج العقد في المجموعة.”
من ناحية أخرى، يمكن استخدام TLS_BOOTSTRAP_TOKEN لتمكين ملف هجوم تمهيد TLS وفي النهاية الوصول إلى جميع الأسرار المستخدمة في تشغيل أعباء العمل. لا يتطلب الهجوم تشغيل الكبسولة كجذر.
وقال مانديانت: “إن اعتماد عملية لإنشاء سياسات شبكة مقيدة تسمح بالوصول فقط إلى الخدمات المطلوبة يمنع فئة الهجوم بأكملها”. “يتم منع تصعيد الامتيازات عبر خدمة غير موثقة عندما لا يمكن الوصول إلى الخدمة على الإطلاق.”
ويأتي هذا الكشف في الوقت الذي سلطت فيه منصة أمان Kubernetes ARMO الضوء على ثغرة جديدة عالية الخطورة في Kubernetes (CVE-2024-7646، درجة CVSS: 8.8) التي تؤثر على وحدة تحكم ingress-nginx ويمكن أن تسمح لممثل ضار بالوصول غير المصرح به إلى موارد المجموعة الحساسة.
“تنشأ الثغرة الأمنية من خلل في الطريقة التي يتحقق بها ingress-nginx من صحة التعليقات التوضيحية على كائنات Ingress،” الباحث الأمني أميت شيندل قال.
“تسمح الثغرة الأمنية للمهاجم بإدخال محتوى ضار في بعض التعليقات التوضيحية، وتجاوز عمليات التحقق من الصحة المقصودة. يمكن أن يؤدي هذا إلى إدخال أوامر عشوائية وإمكانية الوصول إلى بيانات اعتماد وحدة التحكم ingress-nginx، والتي، في التكوينات الافتراضية، لديها حق الوصول إلى جميع الأسرار في الكتلة.”
ويأتي أيضًا بعد اكتشاف خلل في التصميم في Kubernetes مشروع جيت المزامنة قد يسمح ذلك بإدخال الأوامر عبر Amazon Elastic Kubernetes Service (EKS)، وAzure Kubernetes Service (AKS)، وGoogle Kubernetes Engine (GKE)، وLinode.
“يمكن أن يتسبب هذا الخلل في التصميم إما في سرقة بيانات أي ملف في الكبسولة (بما في ذلك الرموز المميزة لحساب الخدمة) أو تنفيذ الأمر باستخدام امتيازات مستخدم git_sync،” تومر بيليد، الباحث في Akamai قال. “لاستغلال الخلل، كل ما يحتاج المهاجم إلى فعله هو تطبيق ملف YAML على المجموعة، وهي عملية ذات امتيازات منخفضة.”
لا توجد تصحيحات مخططة للثغرة الأمنية، مما يجعل من الضروري أن تقوم المؤسسات بمراجعة وحدات git-sync الخاصة بها لتحديد الأوامر التي يتم تشغيلها.
وقال بيليد: “كلا الناقلين يرجعان إلى نقص تعقيم المدخلات، مما يسلط الضوء على الحاجة إلى دفاع قوي فيما يتعلق بتعقيم مدخلات المستخدم”. “يجب على أعضاء الفريق الأزرق أن ينتبهوا للسلوك غير المعتاد الصادر عن مستخدم gitsync في مؤسساتهم.”
إرسال التعليق