Kubernetes用户权限提升漏洞所暴露的安全隐患

近日，Kubernetes的开源容器软件中发现了一个关键的用户权限提升漏洞（CVE-2018-1002105），该软件是当今大部分云基础架构的固定组件。此漏洞可以让攻击者不受限远程访问，窃取数据或致使生产应用程序崩溃。

此漏洞CVSS评分为9.8，也是Kubernetes首次被发现的重大漏洞。黑客可以通过发送特殊处理过的请求，建立Kubernetes API服务器与访问聚合API服务器的连接。一旦连接建立，就不再需要检查发送给聚合API服务器的任何请求，意味着可以提升权限对任何聚合API服务器端点进行API调用，以及对该聚合API服务器执行任何API请求（例如Pod的创建以及执行任意命令并获得返回结果）。 在默认配置中，允许所有用户（经过身份验证和未经身份验证的用户）执行允许此权限提升的API调用。

在实际生产应用中，Kubernetes属于大型框架服务, 影响面会比较广泛，这个问题尤其令人担忧。Kubernetes采用的是 Linux 容器编排（container orchestration）的事实标准（de facto standard），它使在云中编排容器化的应用程序成为可能，支持由数百甚至数千个“简单”服务组成的组合服务。与传统应用程序相比，这些经过编排的应用程序通常更灵活，更易管理和维护。但是，这种架构也意味着恶意访问一个有漏洞的API服务器时，其所有子服务都是开放的。因此，攻击者可以深入访问云基础架构执行恶意操作，包括数据盗窃、安装恶意软件、间谍和侦察、或更改workloads以进行破坏。

Sumo Logic 公司的CSO George Gerchow表示：

Kubernetes此项漏洞所带来的影响会留有深患。Kubernetes的优势在于它的基本速度、编排、自动化和规模。当出现安全问题时，由于攻击易于扩散，这些特性都会轻易遭到损害。

Kubernetes已发布解决该漏洞的更新（v1.10.11，v1.11.5和v1.12.3）；个人发行版需要自行更新。Red Hat已升级其OpenShift容器平台（此处已修补版本）;用户可以访问Debian和SUSE发行版的安全跟踪器页面，以获取有关Kubernetes补丁程序的最新信息。

对于大多数组织机构来说，容器安全才刚刚开始出现在视野里。大多数拥有此类部署的企业组织无法为保护云原生应用做好充分准备。例如，在StackRox最近的一项调查中，超过三分之一的机构担心他们的安全策略不能充分解决容器安全问题；另有15%的人认为他们的战略中没有对容器安全的威胁起到足够重视，尤其是对Kubernetes的部署。

Gerchow指出：

众所周知，新兴技术永远将安全性视为事后考虑因素，所以安全行业的专业人士都希望容器缺陷能尽早暴露。从更长远的角度来看，这是开发团队和安全团队需要进行更好协作的另一个佐证——如何通过DevSecOps在维护敏捷性的同时建立防御和最佳实践。总的来说，大多数组织在对其容器、CI/CD管道的安全性和配置上都显得相当短视。

Gerchow补充说，

考虑到当今企业IT基础设施中API的普遍性，保护它们应是重中之重。API使得商业互通更为顺畅，我们预计在未来API会持续爆炸式增长——尤其在现代响应式应用程序，移动应用程序和B2B应用中。即使API存在新的风险，未被以前的应用程序涵盖到，但是应用程序安全性几乎是通用的，保护API应该是每个使用API的组织的重点。

API问题最近频繁出现在新闻头条，比如不久前美国邮政总局和亚马逊网站出现漏洞，两者都是API的不当使用造成的问题。