工具安全漏洞让攻击者可以在主机上运行代码

Kubernetes项目今天修补了一个危险的安全漏洞，可能允许攻击者可以在主机上运行代码的聪明黑客攻击。

该漏洞不会影响Kubernetes系统本身，而是影响kubectl(Kube控件)，这是用于处理Kubernetes安装的官方命令行实用程序。

安全研究人员在kubectlcp(复制)操作中发现了一个安全漏洞，用于将文件从容器传输到用户的主机。

黑客可以通过“复制”操作执行代码

“为了从容器中复制文件，Kubernetes在容器内运行tar以创建tar存档，通过网络复制它，kubectl将其解压缩到用户的机器上，”Kubernetes产品安全委员会成员JoelSmith说。

“如果容器中的tar二进制文件是恶意的，它可以运行任何代码并输出意外的恶意结果。当调用kubectlcp时，攻击者可以使用它将文件写入用户计算机上的任何路径，仅受系统权限的限制当地用户，“他说。

利用这个漏洞并不简单，因为攻击者需要首先将恶意文件放在Kubernetes容器中，然后等待Kubernetes管理员将这些文件传输到他的系统。

恶意文件会自动执行;然而，这次袭击还依赖于运气和一点社会工程。

主机黑客可能会导致完全妥协

尽管如此，StackRox联合创始人兼产品副总裁WeiLienDang认为这个漏洞非常危险。

“此漏洞令人担忧，因为它会允许攻击者覆盖敏感文件路径或添加恶意程序文件，然后利用这些文件来破坏Kubernetes环境的重要部分，”Wei在上周的一封电子邮件中告诉ZDNet。

“这种类型的漏洞利用了客户端漏洞如何被用来潜在地破坏生产环境，特别是因为我们观察到并不总是遵循减轻这种威胁载体的最佳实践。

“例如，用户可能正在生产节点上运行kubectl，或者没有适当的基于角色的访问控制来限制对整个集群的访问，或者使用提升的本地系统权限，”Wei补充道。

“此外，修复程序，即升级到最新版本的kubectl，可能更难执行，因为它依赖于个人用户这样做，”StackRox执行官说。

漏洞现在修补了两次

该漏洞被追踪为CVE-2019-11246，由AtredisPartners的CharlesHolmes发现，并被发现是由CloudNativeComputingFoundation赞助的安全审计的一部分。

“这个漏洞源于之前披露的漏洞(CVE-2019-1002101)的不完整修复，”Wei说，指出今年3月的漏洞首次修复。

“此漏洞的详细信息与CVE-2019-1002101非常相似。该问题的原始修复程序不完整，并且发现了一种新的漏洞利用方法，”Smith说。

建议运行自己的Kubernetes安装的公司和开发人员将kubectl和Kubernetes升级到版本1.12.9,1.13.6或1.14.2或更高版本。

运行kubectl版本--client，如果它没有说客户端版本1.12.9,1.13.3或1.14.2或更新版本，则运行易受攻击的版本。

GOOGLECLOUDK8S也很脆弱

在今天发布的安全公告中，GoogleCloud管理员表示“所有GoogleKubernetesEngine(GKE)gcloud版本都受此漏洞影响，我们建议您在gcloud可用时升级到最新的补丁版本。”

目前，这个补丁还没有出来。

“即将推出的补丁版本将包括缓解此漏洞，”谷歌表示。建议Google云端客户密切关注与kubectl相关的安全修复程序的工具更新日志。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！