A Má Configuração do Google Kubernetes Permite que Qualquer Conta do Gmail Controle Seus Clusters
25 de Janeiro de 2024

Pesquisadores de cibersegurança descobriram uma brecha que afeta o Google Kubernetes Engine (GKE) que pode ser potencialmente explorada por atores ameaçadores com uma conta Google para tomar o controle de um cluster do Kubernetes.

A falha crítica foi apelidada de Sys:All pela empresa de segurança em nuvem Orca.

Estima-se que até 250.000 clusters GKE ativos na natureza são suscetíveis ao vetor de ataque.

Em um relatório compartilhado com o The Hacker News, o pesquisador de segurança Ofir Yakobi disse que isso "decorre de um equívoco provavelmente generalizado que o grupo system:authenticated no Google Kubernetes Engine inclui apenas identidades verificadas e determinantes, ao passo que, na realidade, inclui qualquer conta autenticada do Google (mesmo fora da organização)".

O grupo system:authenticated é um grupo especial que inclui todas as entidades autenticadas, contando usuários humanos e contas de serviço.

Como resultado, isso pode ter consequências sérias quando os administradores inadvertidamente lhe atribuem funções excessivamente permissivas.

Especificamente, um ator ameaçador externo na posse de uma conta do Google poderia abusar desta má configuração usando seu próprio token bearer do Google OAuth 2.0 para apoderar-se do cluster para seguimento da exploração, como movimento lateral, criptomineração, negação de serviço e roubo de dados sensíveis.

Para piorar, essa abordagem não deixa um rastro de maneira que possa ser vinculado de volta à conta real do Gmail ou do Google Workspace que obteve o token bearer OAuth.

O Sys:All foi encontrado impactando diversas organizações, levando à exposição de vários dados sensíveis, como tokens JWT, chaves da API do GCP, chaves da AWS, credenciais do Google OAuth, chaves privadas e credenciais para repositórios de contêiner, o último dos quais poderia ser usado para trojanizar imagens de contêiner.

Após a divulgação responsável para o Google, a empresa tomou medidas para bloquear a vinculação do grupo system:authenticated à função cluster-admin nas versões 1.28 e posteriores do GKE.

"Para ajudar a proteger seus clusters contra ataques massivos de malware que exploram as más configurações de acesso do cluster-admin, os clusters do GKE rodando a versão 1.28 e posterior não permitem que você vincule a função ClusterRole do cluster-admin ao usuário system:anonymous ou aos grupos system:unauthenticated ou system:authenticated", observa agora o Google em sua documentação.

Em um boletim de segurança separado, o Google Cloud disse que conceder privilégios do Kubernetes ao grupo system:authenticated viola o princípio do menor privilégio e concede acesso a grupos de usuários muito grandes.

A empresa também informou que "integrou regras de detecção ao Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte do Security Command Center" e que "incorporou regras de prevenção configuráveis ao Policy Controller com o K8sRestrictRoleBindings".

Por último, mas não menos importante, notificações por email foram enviadas a todos os usuários do GKE com vinculações a esses usuários/grupos, pedindo-lhes que revisem sua configuração.

O Google também está recomendando aos usuários que não vinculem o grupo system:authenticated a qualquer função RBAC, bem como avaliem se os clusters foram vinculados ao grupo usando tanto o ClusterRoleBindings quanto o RoleBindings e removam quaisquer vinculações inseguras.

A Orca também advertiu que, embora não haja um registro público de um ataque em grande escala utilizando este método, pode ser apenas uma questão de tempo, exigindo que os usuários tomem as medidas adequadas para proteger seus controles de acesso ao cluster.

"Embora as mudanças do Google sejam melhorias, ainda deixam muitos outros papéis e permissões (além de cluster-admin) que podem ser atribuídos ao grupo system:authenticated, então as organizações devem garantir que o grupo system:authenticated não esteja superprivilegiado", enfatizou o pesquisador de segurança Roi Nisimi.

(A história foi atualizada após a publicação para incluir respostas do Google e da Orca.)

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...