Kubernetes en proie à une vulnérabilité permettant le vol de données et le cryptominage

0

Un problème de sécurité, consigné sous la référence CVE-2020-8558, a été récemment mis au jour dans le kube-proxy, un composant de mise en réseau qui s’exécute sur les nœuds du système Kubernetes. Cette vulnérabilité exposait les services internes des nœuds de Kubernetes, souvent exécutés sans authentification. Dans certaines architectures Kubernetes, le kube-apiserver pouvait se trouver exposé, d’où un risque de prise de contrôle totale du cluster par un pirate non authentifié. Fort d’un tel accès, le cybercriminel était en mesure de voler des données, de déployer des logiciels de cryptominage ou de supprimer entièrement des services existants.

Cette vulnérabilité exposait les services localhost des nœuds (normalement accessibles uniquement à partir du nœud lui-même) aux hôtes du réseau local et aux pods en exécution sur le nœud. Les services liés à localhost n’étant censés pouvoir interagir qu’avec des processus locaux de confiance, les demandes sont souvent traitées sans authentification. Si vos nœuds exécutent des services localhost sans authentification, votre système est concerné.

Les détails du problème ont été divulgués le 18 avril 2020, et un correctif a été publié le 1er juin 2020. L’Unit 42 a mené une évaluation complémentaire de l’impact sur les clusters de Kubernetes et constaté que le port « insecure-port » du kube-apiserver (normalement accessible à partir du nœud principal uniquement) n’était pas désactivé dans certaines installations Kubernetes. Profitant de la vulnérabilité CVE-2020-8558, les pirates peuvent accéder au port « insecure-port » et prendre entièrement le contrôle du cluster.

L’Unit 42 a averti l’équipe de sécurité de Kubernetes des risques inhérents à cette vulnérabilité. À son tour, l’équipe a jugé son impact « élevé » pour les clusters dont le port « insecure-port » du kube-apiserver est activé, et « moyen » dans les autres cas de figure. Par chance, les conséquences de CVE-2020-8558 sont quelque peu réduites sur la plupart des services Kubernetes hébergés, comme Azure Kubernetes Service (AKS), Elastic Kubernetes Service (EKS) d’Amazon et Google Kubernetes Engine (GKE). La vulnérabilité CVE-2020-8558 a été corrigée dans les versions 1.18.4, 1.17.7 et 1.16.11 de Kubernetes (publication le 17 juin 2020). Tous les utilisateurs sont encouragés à mettre à jour leur système.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply