Google Cloud Mengatasi Kelemahan Eskalasi Hak Istimewa yang Berdampak pada Layanan Kubernetes
Cyberthreat.id - Google Cloud telah mengatasi kelemahan keamanan dengan tingkat keparahan sedang pada platformnya yang dapat disalahgunakan oleh penyerang yang sudah memiliki akses ke cluster Kubernetes untuk meningkatkan hak istimewa mereka.
“Penyerang yang telah menyusupi kontainer logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Anthos Service Mesh (pada klaster yang mengaktifkannya) untuk meningkatkan hak istimewa dalam klaster tersebut,” kata perusahaan tersebut sebagai bagian dari penasehatan yang dirilis pada bulan Desember 14 Agustus 2023 sebagaimana dikutip The Hacker News.
Palo Alto Networks Unit 42, yang menemukan dan melaporkan kelemahan tersebut, mengatakan bahwa peretas dapat menggunakannya sebagai senjata untuk melakukan “pencurian data, menyebarkan pod berbahaya, dan mengganggu operasi cluster.”
Tidak ada bukti bahwa isu ini telah dieksploitasi secara liar. Masalah ini telah diatasi di versi Google Kubernetes Engine (GKE) dan Anthos Service Mesh (ASM) berikut:
1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4
Prasyarat utama agar berhasil mengeksploitasi kerentanan bergantung pada penyerang yang telah menyusupi container FluentBit dengan beberapa metode akses awal lainnya, seperti melalui kelemahan eksekusi kode jarak jauh.
“GKE menggunakan Fluent Bit untuk memproses log beban kerja yang berjalan pada cluster,” Google menjelaskan.
"Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk beban kerja Cloud Run. Volume mount yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node tersebut."
Artinya, pelaku ancaman dapat menggunakan akses ini untuk mendapatkan akses istimewa ke klaster Kubernetes yang mengaktifkan ASM dan kemudian menggunakan token akun layanan ASM untuk meningkatkan hak istimewanya dengan membuat pod baru dengan hak istimewa admin klaster.
“Akun layanan clusterrole-aggregation-controller (CRAC) mungkin adalah kandidat utama, karena dapat menambahkan izin sewenang-wenang ke peran cluster yang ada,” kata peneliti keamanan Shaul Ben Hai.
"Penyerang dapat memperbarui peran cluster yang terikat pada CRAC untuk memiliki semua hak istimewa."
Sebagai perbaikan, Google telah menghapus akses Fluent Bit ke token akun layanan dan merancang ulang fungsi ASM untuk menghapus izin kontrol akses berbasis peran (RBAC) yang berlebihan.
“Vendor cloud secara otomatis membuat pod sistem ketika cluster Anda diluncurkan,” Ben Hai menyimpulkan.
"Mereka dibangun di infrastruktur Kubernetes Anda, sama seperti pod tambahan yang dibuat saat Anda mengaktifkan suatu fitur."
“Ini karena vendor cloud atau aplikasi biasanya membuat dan mengelolanya, dan pengguna tidak memiliki kendali atas konfigurasi atau izinnya. Hal ini juga bisa sangat berisiko karena pod ini dijalankan dengan hak istimewa yang lebih tinggi.”[]