Kubernetes: Kritisches Update für Container-Verwaltung

In Kubernetes steckt eine gefährliche Sicherheitslücke, über die unangemeldete Angreifer Code mit Admin-Rechten im Cluster ausführen können.

In Pocket speichern vorlesen Druckansicht 35 Kommentare lesen
Kubernetes: Kritisches Update für Container-Verwaltung

Zeit zum Handeln: Container-Admins sollten unbedingt ihre Kubernetes-Software erneuern.

(Bild: Pixabay)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Admins, die ihre Container mit Kubernetes verwalten, sollten sicherstellen, dass sie schnellstmöglich auf eine der Versionen 1.10.11, 1.11.5 oder 1.12.3 der Software aktualisieren. Die kommende Version 1.13.0 wurde ebenfalls abgesichert. Die Entwickler des weit verbreiteten Open-Source-Systems zur Bereitstellung und Verwaltung von Container-Anwendungen haben mit diesen Versionen eine Sicherheitslücke (CVE-2018-1002105) geschlossen, die mit einem CVSS-Wert von 9,8 – von maximal 10 Punkten – als äußerst kritisch bewertet wird. Red Hat arbeitet ebenfalls an Updates für seine OpenShift-Plattform, die auf Docker-Container unter Kubernetes-Verwaltung aufbaut.

Bei dem Kubernetes-Problem handelt es sich um eine Rechte-Ausweitungslücke – allerdings trügt diese Beschreibung unter Umständen, wenn es um eine Einschätzung der Gefahren geht. Angreifer können die Lücke ausnutzen, um sich mit einem API-Server der Software zu verbinden. Durch Manipulation von Befehlen können sie diesen in die Irre führen und dazu bringen, Befehle an die eigentlichen Storage-Systeme im Kubernetes-Verbund zu schicken. Da dies unter der Ägide des API-Servers passiert, hat der Angreifer die Möglichkeit, als Cluster-Admin zu agieren. So kann er auf die Container-Pods zugreifen und die in den Containern laufenden Applikationen zum Absturz bringen oder dort Schadcode einschießen und ausführen lassen.

Außerdem könnte ein Angreifer auf diesem Wege sensible Geheimnisse stehlen, die sich in den Containern befinden. Die Natur einer Kubernetes-Installation macht es wahrscheinlich, dass ein Angreifer nach dem Einbruch somit Zugriffe auf viele, wenn nicht alle internen Applikationen einer Organisation hat. Außerdem könnte er so Angriffscode an der Firewall eines Unternehmens vorbeischmuggeln und von innen heraus direkt auf der Container-Infrastruktur zum Laufen bringen. Besonders brisant ist, dass die Lücke von außerhalb ausgenutzt werden kann und keiner Mithilfe eines legitimen Benutzers bedarf. Außerdem ist sie nach Einschätzung der untersuchenden Sicherheitsforscher trivial leicht auszunutzen.

Die Lücke kann auf insgesamt zwei Arten ausgenutzt werden. Ein angemeldeter Nutzer eines Pods mit einfachen Nutzerrechten kann sich darüber zum Cluster-Admin machen. Allerdings kann auch ein unangemeldeter Nutzer über den API-Server, das Herzstück einer Kubernetes-Installation, durch Manipulation von Anfragen beliebigen Code ausführen lassen. Ein Angreifer benötigt also lediglich einen Weg, auf die Kubernetes-Infrastruktur zuzugreifen, um die Schwachstelle zu missbrauchen. Beide Angriffsarten hinterlassen keine Spuren in den Logs der Software, beziehungsweise sind von legitimen Befehlen nicht zu unterscheiden. Die Sicherheitslücke sollte also äußerst ernst genommen werden. (fab)