व्यापक रूप से उपयोग किए जाने वाले कुबेरनेट्स कंटेनर-प्रबंधन सिस्टम में एक सुरक्षा बग हमलावरों को विंडोज़ एंडपॉइंट्स पर सिस्टम विशेषाधिकारों के साथ कोड को दूरस्थ रूप से निष्पादित करने की अनुमति देता है, जिससे संभावित रूप से सभी विंडोज़ नोड्स का पूर्ण अधिग्रहण हो जाता है। कुबेरनेट्स क्लस्टर.

अकामाई सुरक्षा शोधकर्ता तोमर पेलेड ने दोष की खोज की, जिसे CVE-2023-5528 के रूप में ट्रैक किया गया है और इसका CVSS स्कोर 7.2 है। शोषण कुबेरनेट्स वॉल्यूम में हेरफेर करने में निहित है, एक सुविधा जिसका उद्देश्य क्लस्टर पर पॉड्स के बीच डेटा साझा करने का समर्थन करना है, या इसे पॉड के जीवन चक्र के बाहर लगातार संग्रहीत करना है, उन्होंने समझाया एक ब्लॉग पोस्ट में 13 मार्च को प्रकाशित।

आक्रमण वेक्टर के रूप में, हमलावरों को इसकी आवश्यकता होगी पॉड्स और लगातार वॉल्यूम बनाने के लिए विंडोज़ नोड्स पर, जो दोष के लिए GitHub लिस्टिंग के अनुसार, उन्हें उन नोड्स पर व्यवस्थापकीय विशेषाधिकारों को बढ़ाने की अनुमति देगा।

पेलेड ने डार्क रीडिंग को बताया, "इस भेद्यता का फायदा उठाना बहुत आसान है क्योंकि एक हमलावर को केवल एक पैरामीटर को संशोधित करने और विंडोज एंडपॉइंट्स पर आरसीई हासिल करने के लिए 3 YAML फ़ाइलों को लागू करने की आवश्यकता होगी।" कुबेरनेट्स ढांचा "मूल रूप से हर चीज़ के लिए YAML फ़ाइलों का उपयोग करता है," उन्होंने पोस्ट में लिखा।

कुबेरनेट्स क्लस्टर केवल तभी प्रभावित होते हैं जब वे विंडोज़ के लिए इन-ट्री स्टोरेज प्लगइन का उपयोग कर रहे हों; हालाँकि, "ऐसे कई अलग-अलग वॉल्यूम प्रकार हैं जिनका डेवलपर्स उपयोग कर सकते हैं," विभिन्न हमले परिदृश्य बनाते हुए, पेलेड ने पोस्ट में देखा।

ऑन-प्रिमाइसेस परिनियोजन और Azure Kubernetes सेवा दोनों पर चलने वाले संस्करण 1.28.4 से पहले के Kubernetes के डिफ़ॉल्ट इंस्टॉलेशन असुरक्षित हैं। कुबेरनेट्स टीम को खामी के बारे में सचेत कर दिया गया है और सुधार के लिए एक पैच उपलब्ध है, जो अत्यधिक अनुशंसित है।

"चूंकि समस्या स्रोत कोड के भीतर है, इसलिए यह खतरा सक्रिय रहेगा और इसका शोषण बढ़ने की संभावना है - यही कारण है कि हम दृढ़ता से आपके क्लस्टर को पैच करने की सलाह देते हैं, भले ही इसमें कोई विंडोज नोड न हो," पेलेड ने लिखा।

खामियों का पालन करें

पेलेड ने एक अन्य भेद्यता की जांच के बाद दोष का पता लगाया, जिसका मूल कारण समान था: असुरक्षित फ़ंक्शन कॉल और कुबेरनेट्स में उपयोगकर्ता इनपुट स्वच्छता की कमी। वह दोष था CVE-2023-3676, एक कमांड इंजेक्शन भेद्यता जिसका फायदा क्लस्टर पर एक दुर्भावनापूर्ण YAML फ़ाइल को लागू करके उठाया जा सकता है। इस भेद्यता की खोज से दो अन्य की खोज हुई जो कि YAML फ़ाइलों में सबपाथ पैरामीटर के स्वच्छता की कमी के कारण होती हैं, जो वॉल्यूम के साथ पॉड्स बनाता है और दुर्भावनापूर्ण कोड इंजेक्शन के लिए अवसर खोलता है।

"उस शोध के अंत में, हमने कोड में एक संभावित स्थान देखा जो ऐसा लग रहा था कि यह एक और कमांड इंजेक्शन भेद्यता का कारण बन सकता है," जो अंततः CVE-2023-5528 बन गया, पेलेड ने समझाया।

"कई प्रयासों के बाद, हम एक समान परिणाम प्राप्त करने में कामयाब रहे: क्यूबलेट सेवा (सिस्टम विशेषाधिकार) के रूप में कमांड निष्पादित करना," उन्होंने लिखा।

शोषण और पैचिंग

शोधकर्ताओं द्वारा निष्पादित अवधारणा का प्रमाण स्थानीय वॉल्यूम पर केंद्रित है, जो कुबेरनेट्स के भीतर वॉल्यूम प्रकारों में से एक है। एक पॉड बनाते समय जिसमें एक स्थानीय वॉल्यूम शामिल होता है, क्यूबलेट सेवा अंततः "exec.command" पर एक सीएमडी लाइन कॉल के साथ एक फ़ंक्शन तक पहुंच जाएगी, जो नोड पर वॉल्यूम के स्थान और पॉड के अंदर के स्थान के बीच एक सिम्लिंक बनाती है।

कई टर्मिनलों की तरह, विंडोज़ का कमांड प्रॉम्प्ट (सीएमडी) एक के बाद एक दो या दो से अधिक कमांड के निष्पादन की अनुमति देता है, साथ ही एक ही कमांड लाइन में कई कमांड भी। "तथ्य यह है कि हम सीएमडी निष्पादन में एक पैरामीटर को नियंत्रित कर सकते हैं इसका मतलब है कि हम कमांड इंजेक्शन का उपयोग कर सकते हैं," पेलेड ने समझाया।

स्थानीय वॉल्यूम पर इसे प्राप्त करने के लिए पूर्वापेक्षाएँ हैं, जिनमें दूसरों के बीच एक सतत वॉल्यूम निर्दिष्ट करने या बनाने की आवश्यकता शामिल है। हालाँकि, एक बार वह वॉल्यूम बन जाने के बाद, "एक उपयोगकर्ता परसिस्टेंटवॉल्यूमक्लेम का उपयोग करके स्टोरेज स्पेस मांग सकता है," उन्होंने लिखा। "यह वह जगह है जहां इंजेक्शन लगाया जा सकता है।"

दोष के लिए बनाया गया पैच सीएमडी कॉल को हटाकर और इसे मूल जीओ फ़ंक्शन के साथ बदलकर इंजेक्शन के अवसर को हटा देता है जो सिम्लिंक बनाने के लिए समान ऑपरेशन करेगा। "अब, जीओ 'ओएस' लाइब्रेरी केवल एक सिम्लिंक ऑपरेशन करेगी, जैसा कि शुरू में इरादा था," उन्होंने समझाया।

क्या आपका सिस्टम असुरक्षित है?

Kubernetes कंटेनरों के लिए सबसे व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स सिस्टम में से एक के रूप में उभरा है; हालाँकि, यह भी बन गया है एक प्रमुख लक्ष्य इसके कारण धमकी देने वाले अभिनेताओं के लिए विशाल क्षमता संगठनात्मक डेटा के शोषण और पहुंच के लिए। इसके अलावा, कई बार कुबेरनेट्स कॉन्फ़िगरेशन स्वयं एक कमजोर इंस्टॉलेशन बनाता है, जो खतरे वाले अभिनेताओं के लिए एक व्यापक हमले की सतह प्रदान करता है।

पेलेड कहते हैं, "कुबेरनेट्स एक बहुत ही जटिल और मजबूत उपकरण है।" "एक ओर इसकी मजबूती उपयोगकर्ताओं को अपने अनुभव को अपने संगठन की आवश्यकताओं के अनुरूप बनाने की अनुमति देती है, लेकिन दूसरी ओर डेवलपर या उपयोगकर्ता दोनों के दृष्टिकोण से इसके हर पहलू को सुरक्षित करना बहुत कठिन बना देती है।"

दरअसल, CVE-2023-5528 की खोज और इससे संबंधित खामियां कुबेरनेट्स को तैनात करने वाले उद्यमों के लिए उजागर करती हैं, "कुबेरनेट्स कॉन्फ़िगरेशन YAMLs को सत्यापित करना कितना महत्वपूर्ण है, क्योंकि कुबेरनेट्स और इसके साइडकार प्रोजेक्ट्स में कई कोड क्षेत्रों में इनपुट सैनिटाइजेशन की कमी है," पेलेड ने लिखा। .

उन्होंने डार्क रीडिंग को बताया, भूमिका-आधारित पहुंच नियंत्रण (आरबीएसी) जैसी सर्वोत्तम प्रथाओं का पालन करना और यह सुनिश्चित करना कि क्लस्टर अद्यतित हैं, "ज्ञात खतरों के एक बड़े हिस्से को कम करना चाहिए"।

कुबेरनेट्स चलाने वाला एक एंटरप्राइज़ वातावरण केवल दोष का फायदा उठाने के लिए असुरक्षित है यदि सिस्टम का एक संस्करण 1.28.4 से पहले का है और सिस्टम विंडोज नोड्स चला रहा है। यदि यह मामला है, तो अकामाई ने प्रशासकों को यह निर्धारित करने के लिए एक आदेश प्रदान किया कि सिस्टम को पैच किया जाना चाहिए या नहीं। यदि हां, तो पैचिंग को प्राथमिकता दी जानी चाहिए।  

"यदि आपके कुबेरनेट्स क्लस्टर में कोई विंडोज़ नोड नहीं है, तो आपको इस विशिष्ट भेद्यता को ठीक करने के लिए जल्दबाजी करने की ज़रूरत नहीं है," पेलेड ने कहा। "लेकिन जब भी आपके पास समय हो तो इसे पैच करना महत्वपूर्ण है।"

यदि तत्काल पैचिंग कोई विकल्प नहीं है, तो अकामाई भी प्रदान कर रहा है इस प्रकार के व्यवहार का पता लगाने और उसे रोकने में मदद के लिए एक ओपन पॉलिसी एजेंट (ओपीए) नियम। ओपीए एक खुला स्रोत एजेंट है जो उपयोगकर्ताओं को नोड्स के अंदर और बाहर जाने वाले ट्रैफ़िक पर डेटा प्राप्त करने और प्राप्त डेटा पर नीति-आधारित कार्रवाई करने की अनुमति देता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cloud-security/patch-now-kubernetes-flaw-allows-for-full-takeover-of-windows-nodes