Sys:All kiskapu
Az Orca Security kutatói a Google Kubernetes Engine-t (GKE) érintő sérülékenységet azonosítottak, amellyel átvegyő az irányítás egy Kubernetes-fürt felett. A becslések szerint 250 000 aktív GKE-klaszter fogékony a támadási vektorra.
A system:authenticated csoport egy speciális csoport, amely az összes hitelesített entitást tartalmazza, beleértve az emberi felhasználókat és a szolgáltatásfiókokat is. Ennek következtében súlyos következményekkel járhat, ha a rendszergazdák véletlenül túlságosan megengedő szerepkörökkel ruházzák fel.
Konkrétan, egy külső fenyegető szereplő, aki Google-fiók birtokában van, visszaélhet ezzel a félrekonfigurációval, és a saját Google OAuth 2.0 hordozó tokenjét használva átveheti az irányítást a csoport felett, hogy azt követően kihasználhassa azt, például oldalirányú mozgásra, kriptominingre, szolgáltatásmegtagadásra és érzékeny adatok ellopására.
A helyzetet tovább rontja, hogy ez a megközelítés nem hagy olyan nyomot, amely visszavezethető lenne a tényleges Gmail vagy Google Workspace fiókhoz, amely az OAuth hordozó tokent megszerezte.
A Sys:All számos szervezetet érintett, ami különböző érzékeny adatok, például JWT tokenek, GCP API kulcsok, AWS kulcsok, Google OAuth hitelesítő adatok, privát kulcsok és a konténer-nyilvántartások hitelesítő adatai kiszolgáltatásához vezetett, amelyek közül az utóbbiak felhasználhatók konténer-képek trójaiakkal való ellátására.
A Google-nak történt bejelentést követően a vállalat javította a GKE 1.28-as és újabb verzióiban a system:authenticated csoport beállításait a cluster-admin szerepkörhöz.