Red Hat спонсировала этот пост.
У Kubernetes была тяжелая неделя для безопасности, так как CVE-2015-1974 обнаружился 24 марта. Поскольку вы, вероятно, уже много думаете о безопасности Kubernetes, мы подумали, что мы проведем быстрый экскурсию по некоторым другим уязвимостям, за которые вы должны следить, и дать вам краткое представление о том, как предотвратить их, не испортим вашу неделю.
Безопасность Kubernetes — это его собственное дело — платформа Kubernetes включает в себя множество слоев, которые все необходимо обеспечить. Упаковка контейнеров позволяет размещать почти бесконечную комбинацию языков, фреймворков и коммерческого готового программного обеспечения. Вот почему инструменты безопасности, которые являются родными для Kubernetes, являются ключом к полной картине безопасности Kubernetes.
Вот пять уязвимостей, за которыми следует обращаться при запуске кластера Kubernetes и некоторой информации о том, как смягчить их влияние.
Стойки CVE-2024-53677
Эти дети сегодня с их рамками React, их репо NPM и бесконечными потоками веб-сайтов, управляемых событиями. Еще в начале 2000 -х у нас не было JavaScript, который был достаточно одинаково совместим, чтобы даже назвать JavaScript! У нас была Java, и нам понравилась она!
Конечно, 20 лет спустя Java по -прежнему остается основой рабочей силы предприятия. Существует библиотека для всего, и вместо того, чтобы испытывать постоянные обновления и рефакторные кадры, веб -активы Java, как правило, являются относительно стабильными и неинтересными. Честно говоря, неинтересно.
За исключением случаев, когда «неинтересное» означает, что неприятная атака отдаленного выполнения кода попадает под радар. Это было рядом с кварталом раньше. Фактически: вторая из уязвимостей больших стойков была обнаружена в декабре 2024 года. На этот раз, используя атаку прохождения пути, она позволила злонамеренным субъектам загружать или сохранить файл в ограниченном месте, что позволило им использовать удаленные качества кода.
Что -то такое устойчивое, старое и откровенно скучное, именно там, где набирают самые отвратительные уязвимости. Все ожидают, что в новой горячей веб -структуре будут ошибки, но медленные проекты для выпечки, которые увеличивают на 0,0,1 выпуски за последние 10 лет, могут быть самыми сочными целями для реверсийных инженеров, и, по -видимому, стойки — это подарок, который просто продолжал дарить. Надеемся, что это сделано дарить свои подарки.
Xz utils CVE-2024-3094
Обнаружение атак цепочки поставок невероятно сложно. А что, если социальный инженер готов потратить годы, завоевав доверие всего сообщества с открытым исходным кодом? Это именно то, что произошло с XZ Utils, и атака была обнаружена в усердие и посвящении процесса и обзора кода.
Xz utils — одна из тех зависимостей, которая имеет тенденцию попадать в контейнеры для поддержки сжатия и декомпрессии файлов XZ. Таким образом, если разработчики пытаются выжать дополнительное пространство из каждого сжатого файла, они могут выбрать xz через .zip.
И если они это сделали, теперь они должны включить xz utils со своим бинарным, что делает его сочной целью для тех, кто пытается поставить под угрозу целую экосистему нижестоящих проектов и сайтов.
Как только уязвимость была обнаружена в версиях XZ UTILS 5.6 и 5.6.1, эти версии были помечены во всех контейнерах, отсканированных с помощью таких инструментов, как Red Hat Advanced Cluster Security для Kubernetes (RHACS). Пользователи могут использовать политику RHACS для предотвращения приема контейнеров с помощью этой уязвимости и идентификации уже развернутых контейнеров во время выполнения.
OpenSsh Server CVE-2024-6387
Всякий раз, когда существует уязвимость в любой реализации SSH, небо падает. Ни одно приложение не обеспечивает больший доступ, ни более интимное соединение с хост -компьютером, чем безопасная оболочка.
Просто подумайте обо всех удивительных инструментах, которые буквально просто открывают соединение SSH и извергайте в него данные: rsync, ansible, sshuttle. SSH — самый фундаментальный способ попасть в компьютер, который не находится перед вами. До того, как у нас был SSH, у нас был Telnet, а пакетное обнюхивание процветало.
Сегодня соединения Telnet зашифрованы и считаются безопасными во всем мире. Пока небо не начнет снова падать. Совсем недавно атака с машиной в среднем возрасте может позволить кому-то выдать себя за сервер на клиенте благодаря неисправной проверке ключа хоста DNS на Openssh Client Side.
Это была очень специфическая атака, которая работала только тогда, когда клиент установил VerifyHostKeyDns либо «да», либо «спросить», но уязвимость, по -видимому, присутствовала с августа 2023 года. К счастью, теперь она известна и может быть помечена, в случае, если любой из ваших контейнеров содержит уязвимую версию OpenSsh. Кроме того, поскольку SSH действительно не принадлежит контейнерам, вы можете блокировать контейнеры, которые включали в себя развертывание SSH, в первую очередь удаляя вектор атаки.
/DEBUG/PPROF CVE-2019-11248
Уязвимости платформы сложны из-за соглашений на уровне обслуживания (SLA). Поддержание актуальных пакетов с открытым исходным кодом при предоставлении услуг в соответствии с обещаниями может сделать безопасность трудной, бесконечной гонкой. И еще хуже, если уязвимость содержится в инструментах поддержки и устранения неполадок. CVE-2019-11248-это, по сути, висящая конечная точка, открытая через неаутентифицированный порт Kubelet Healthz. Умные злоумышленники могут использовать эту конечную точку отладки, чтобы получить конфиденциальную информацию кластера для незаконного использования. Какая конфиденциальная информация? О, просто адреса памяти и детали конфигурации.
Настоящая опасность здесь возникает в том, чтобы забыть удалить инструменты отладки из кластера или контейнера перед развертыванием до производства. Это совершенно понятно, учитывая, насколько сложным может быть копание через журналы кластеров, чтобы найти источник ошибки.
Инструменты, которые сканируют доступ API, будут предупреждать о необычной или несанкционированной деятельности. Использование злоумышленника этой конкретной уязвимости вызвало бы предупреждение, что позволит администратору быстро реагировать и минимизировать ущерб, который может быть результатом эксплойта. Общая цель состоит в том, чтобы полностью удалить эти типы инструментов и, за исключением этого, создать ограждения, чтобы не допустить производства таких инструментов.
Kubernetes Image Builder CVE-2024-9594
Иногда просто создание изображения контейнера может вызвать проблемы. Но, может быть, не так, как вы ожидаете. В 2024 году CVE-2024-9594 был обнаружен в Kubernetes Builder, который используется для создания изображений виртуальных машин. Для версий Kubernetes Builder 0.1.37 и Prore, учетные данные пользователя по умолчанию были включены в процессе сборки изображения при использовании в таких необработанных провайдерах, как QEMU, OVA или Nutanix. Это означало, что в то время как пользователь создавал изображение с помощью этого инструмента, кто -то мог войти в кластер, используя эту информацию, чтобы получить root. К счастью, эта проблема не повлияла на некоторые распределения Kubernetes, в том числе Red Hat OpenShift, в котором используется источник-изображение, что не было затронуто этой уязвимостью.
Этот тип уязвимости на самом деле довольно старый каштан, хотя его внешний вид здесь совершенно уникален. Старый пример этого «если пользователь использует x, система уязвима» поступает из древних систем UNIX: в версии AIX в середине 90-х годов (IBM Unix), если root читал почту в почтовом клиенте ELM, любой пользователь также мог получить доступ и прочитать что-либо в почтовом каталоге Root. К сожалению, IBM усвоил этот урок в 1996 году.
Старые вульны никогда не умирают
Это просто показывает, что старые модели уязвимости никогда не умирают, они просто проявляются в новых реализациях, языках и средах. Вот почему инструменты безопасности должны быть изначально интегрированы с платформой, обеспечивая корреляцию между процессами и объектами Kubernetes, чтобы администраторы Kubernetes и разработчики приложений могли понять результаты безопасности. Недостаточно просто собрать орды процессов, программного обеспечения и изображений контейнеров ниже.
И все же, отличная безопасность равносильна отличной среде разработки для ваших команд. Если вашим программистам не нужно беспокоиться о серьезных проблемах безопасности в программном обеспечении, которое они используют, потому что это программное обеспечение контролируется, измеряется и благословлено; Тогда эти разработчики могут сосредоточиться на решении проблемы перед ними, а не рефакторировать, чтобы удалить уязвимый кусочек кода каждые несколько недель.
Узнайте больше о Red Hat Advanced Cluster Security для Kubernetes.
Red Hat OpenShift для инноваций без ограничений. Возьмите с собой большие идеи с гибридной облачной платформой, открытой для любого приложения, команды или инфраструктуры. Узнайте больше последних из Red Hat Trending Stories YouTube.com/thenewstack Tech Moving быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. 20 -летний журналист -ветеран -технологий Алекс Хэнди порезал зубы, охватывая запуск первого IMAC. Его работы появились в Wired, Конституции Atlanta Journal и американском государственном деятеле Остина. Он также основатель и режиссер … Подробнее от Алекса Хэнди
