Cybersicherheitsforscher haben eine Lücke im Google Kubernetes Engine (GKE) entdeckt, die potenziell von Angreifern mit einem Google-Konto ausgenutzt werden könnte, um die Kontrolle über einen Kubernetes-Cluster zu übernehmen.
Die kritische Schwachstelle wurde von der Cloud-Sicherheitsfirma Orca unter dem Codenamen Sys:All identifiziert. Schätzungen zufolge sind bis zu 250.000 aktive GKE-Cluster anfällig für diesen Angriffsvektor.
In einem Bericht, der The Hacker News zur Verfügung gestellt wurde, erklärte der Sicherheitsforscher Ofir Yakobi, dass die Schwachstelle „aus einer wahrscheinlich weit verbreiteten Fehleinschätzung resultiert, dass die Gruppe „system:authenticated“ im Google Kubernetes Engine nur verifizierte und deterministische Identitäten enthält, während sie tatsächlich jedes Google-authentifizierte Konto (auch außerhalb der Organisation) enthält“.
Die Gruppe „system:authenticated“ ist eine spezielle Gruppe, die alle authentifizierten Entitäten umfasst, einschließlich menschlicher Benutzer und Service-Accounts. Dadurch können schwerwiegende Folgen entstehen, wenn Administratoren versehentlich zu weitreichende Berechtigungen vergeben.
Ein externer Angreifer, der im Besitz eines Google-Kontos ist, könnte diese Fehlkonfiguration ausnutzen, indem er seinen eigenen Google OAuth 2.0 Bearer-Token verwendet, um die Kontrolle über den Cluster zu übernehmen und anschließende Angriffe wie laterale Bewegung, Kryptomining, Denial-of-Service und den Diebstahl sensibler Daten durchzuführen.
Das Problem dabei ist, dass dieser Angriff keine Spuren hinterlässt, die auf das tatsächliche Gmail- oder Google Workspace-Konto zurückgeführt werden können, das den OAuth Bearer-Token erhalten hat.
Sys:All betrifft zahlreiche Organisationen und führt zur Offenlegung verschiedener sensibler Daten, wie JWT-Tokens, GCP-API-Schlüssel, AWS-Schlüssel, Google OAuth-Anmeldeinformationen, private Schlüssel und Anmeldeinformationen für Container-Registrierungen, die dann zur Trojanisierung von Container-Images verwendet werden könnten.
Nach der verantwortlichen Offenlegung an Google hat das Unternehmen Maßnahmen ergriffen, um die Bindung der Gruppe „system:authenticated“ mit der Rolle „cluster-admin“ in den GKE-Versionen 1.28 und höher zu blockieren.
„In der Dokumentation weist Google nun darauf hin, dass GKE-Cluster ab Version 1.28 und höher nicht mehr die cluster-admin ClusterRole an den system:anonymous-Benutzer oder an die Gruppen system:unauthenticated oder system:authenticated binden, um Ihre Cluster vor Massen-Malware-Angriffen zu schützen, die auf Fehlkonfigurationen des cluster-admin-Zugriffs basieren“, heißt es in der Dokumentation.
Google empfiehlt außerdem, die Gruppe „system:authenticated“ nicht an RBAC-Rollen zu binden und zu überprüfen, ob die Cluster sowohl über ClusterRoleBindings als auch über RoleBindings an die Gruppe gebunden sind, und unsichere Bindungen zu entfernen.
Orca warnt auch davor, dass obwohl es noch keine Berichte über groß angelegte Angriffe mit dieser Methode gibt, es nur noch eine Frage der Zeit sein könnte. Benutzer sollten daher angemessene Maßnahmen ergreifen, um den Zugriff auf ihre Cluster abzusichern.
