Sicherheitslücke bei Kubernetes

Eine kritische Schwachstelle in der beliebten Container-Orchestrierungs-Lösung Kubernetes wurde bekannt (CVE-2018-1008105). Dieser Fehler erlaubt eine Verbindung über den Kubernetes-API-Server zu einem Backend-Server. Dies ermöglicht einem entfernten, nicht authentisierten Angreifer die Kompromittierung zugrundeliegender Kubernetes-Pods, inklusive Administratorrechten. Der CVSS-Score beträgt 9.8 (Critical). Jesse Victors, Security Consultant bei Synopsys bewertet das Gefahrenpotenzial wie folgt:

„Solche Fehler sind in der Branche als „Broken Access Control“ bekannt und rangieren auf Platz 4 der OWASP-Top-10-Liste. Obwohl solche Fehler schon seit Jahren häufig anzutreffen sind, lassen sie sich auf verschiedene Weisen einfach identifizieren. Anwendungen können mit statischen oder dynamischen Tools für Anwendungssicherheit (SAST oder DAST) getestet werden. Solche Tools erkennen Mängel in der Zugriffskontrolle bereits im Quellcode oder durch Scannen der API mit einer Reihe von Abfragekombinationen.“

„APIs sollten sowohl eine Authentifizierung (Wer sind Sie?) als auch die Autorisierung (Sollten Sie Zugriff haben?) für jede Anfrage durchsetzen. Wird diese Überprüfung nur ein einziges Mal beim Login durchgeführt, risikiert man die Exposition von Daten. Einige APIs (z.B. Suchmaschinen) sind zudem so konzipiert, dass sie bei jeder Anfrage große Mengen an Informationen zurückliefern. Dies ist besonders dann gefährlich, wenn ein solches System dem öffentlichen Internet ausgesetzt ist. Wenn Sie noch Kubernetes v1.0.x-1.0.x verwenden, sollten Sie umgehend auf eine gepatchte Version aktualisieren. Sie sollten die Nutzung von aggregierten API-Servern vorübergehend aussetzen und Pod exec/attach/portforward-Berechtigungen von Nutzergruppen entfernen, die keinen vollständigen Zugriff auf die API haben dürfen.“ Auf Github wurde die Schwachstelle bereits behoben

Synopsys