В движке Kubernetes обнаружена критическая уязвимость

В движке Rancher Kubernetes Engine (RKE), широко используемом дистрибутиве Kubernetes, обнаружена критическая уязвимость. Эта уязвимость, идентифицированная как CVE-2023-32191 и получившая максимальный балл CVSS, равный 10, представляет серьезную угрозу для безопасности и целостности кластеров Kubernetes, управляемых RKE.

RKE, известный тем, что полностью запускает Kubernetes в контейнерах Docker как на обычных, так и на виртуализированных серверах, имеет существенный недостаток в системе безопасности в способе хранения информации о состоянии кластера. Уязвимость возникает из-за того, что RKE хранит конфиденциальные учетные данные в ConfigMap, вызываемом full-cluster-state в kube-system пространстве имен кластера, пишет Securityonline.info. 

По сути любой, у кого есть доступ для чтения к этой ConfigMap, эффективно получает контроль административного уровня над всем кластером Kubernetes. Такой уровень доступа может привести к серьезным нарушениям конфиденциальности, целостности и доступности, потенциально подвергая угрозе всю облачную инфраструктуру организации воздействию злоумышленников. 

«Современные технологии быстро меняются. Разработчики в погоне за скоростью или новым функционалом иногда допускают досадные ошибки, которые приводят к инцидентам с утечками данных. Вышеупомянутая ошибка позволяла захватить управление над всем кластером контейнеризации, что фактически является недопустимым событием, которое приводит к утечке или потери данных. Для того, чтобы минимизировать подобные риски, рекомендуется использовать специальные средства защиты информации, которые анализируют правильность настойки систем контейнеризации, прав доступа в системе контейнеризации и защищенность самих хостов», – говорит руководитель лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.