LG, webOS TV’nize yıllarca bakmayı vaat ediyor

Sıradaki içerik:

LG, webOS TV’nize yıllarca bakmayı vaat ediyor

e
sv

Google Cloud önemli bir güvenlik açığını düzelttiğini açıkladı

30 Aralık 2023 02:02

Google Cloud, bir Kubernetes kümesine erişimi olan kötü niyetli kişilerin ayrıcalıklarını yükseltmelerine ve hasara yol açmalarına izin verebilecek bir güvenlik açığını yamaladı.

Şirketin yayınladığı bir duyuruda, “Fluent Bit kayıt konteynerini ele geçiren bir saldırgan, bu erişimi Anthos Service Mesh’in (bunu etkinleştiren kümelerde) gerektirdiği yüksek ayrıcalıklarla birleştirerek kümedeki ayrıcalıkları artırabilir” denildi.

“Fluent Bit ve Anthos Service Mesh ile ilgili sorunlar hafifletildi ve düzeltmeler artık mevcut. Bu güvenlik açıkları GKE’de kendi başlarına istismar edilemez ve başlangıçta bir uzlaşma gerektirir.”

Veri hırsızlığı

Google ayrıca, güvenlik açıklarının vahşi doğada kullanıldığına dair hiçbir kanıt bulamadığını iddia ediyor.

Düzeltmelere gelince, bunlar Google Kubernetes Engine (GKE) ve Anthos Service Mesh’in (ASM) korunan sürümleridir:

1.25.16-gke.1020000
1.26.10-gke.1235000
1.27.7-gke.1293000
1.28.4-gke.1083000
1.17.8-asm.8
1.18.6-asm.2
1.19.5-asm.4

TheHackerNews’in haberine göre, güvenlik açığı ilk olarak Palo Alto Networks’ün siber güvenlik kolu olan Unit 42 tarafından keşfedildi. Unit 42 raporunda, açıkların veri hırsızlığı, kötü niyetli podların konuşlandırılması ve kümenin operasyonlarının kesintiye uğratılması için kullanılabileceğini söylüyor. Ancak bunun işe yaraması için saldırganın önceden ele geçirilmiş bir Fluent Bit konteynerine sahip olması gerekiyor.

Google, “GKE, kümeler üzerinde çalışan iş yüklerinin günlüklerini işlemek için Fluent Bit kullanıyor,” diye açıklıyor. “GKE üzerindeki Fluent Bit de Cloud Run iş yükleri için günlükleri toplamak üzere yapılandırılmıştı. Bu günlükleri toplamak için yapılandırılan birim yuvası, Fluent Bit’e düğüm üzerinde çalışan diğer Pod’lar için Kubernetes hizmet hesabı belirteçlerine erişim sağladı.”

Başka bir deyişle, bir bilgisayar korsanı ASM’nin etkin olduğu bir Kubernetes kümesini kullanabilir ve ardından ASM hizmet hesabı belirtecini kullanarak küme yöneticisi ayrıcalıklarına sahip yeni bir pod oluşturabilir ve böylece ayrıcalıklarını en üst seviyeye yükseltebilir.

Güvenlik araştırmacısı Shaul Ben Hai, “Clusterrole-aggregation-controller (CRAC) hizmet hesabı, mevcut küme rollerine keyfi izinler ekleyebildiği için muhtemelen en önde gelen adaydır” dedi. “Saldırgan CRAC’a bağlı küme rolünü tüm ayrıcalıklara sahip olacak şekilde güncelleyebilir.”

  • Site İçi Yorumlar

Bu yazı yorumlara kapatılmıştır.

error: Content is protected !!