Google Kubernetes Misconfig อนุญาตให้บัญชี Gmail อื่นควบคุมคลัสเตอร์ของคุณ

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ที่ส่งผลกระทบต่อ Google Kubernetes Engine (GKE) ซึ่งอาจถูกใช้โดยผู้คุกคามด้วยบัญชี Google เพื่อควบคุมคลัสเตอร์ Kubernetes ข้อบกพร่องร้ายแรงนี้มีชื่อรหัสว่า Sys:All โดยบริษัทรักษาความปลอดภัยบนคลาวด์ Orca คาดว่าคลัสเตอร์ GKE ที่ใช้งานอยู่ในระบบมากถึง 250,000 คลัสเตอร์จะถูกโจมตีได้ง่ายต่อเวกเตอร์การโจมตี   ในรายงานที่แชร์กับ The Hacker News นักวิจัยด้านความปลอดภัย Ofir Yakobi กล่าวว่า “เกิดจากความเข้าใจผิดที่อาจเกิดขึ้นอย่างกว้างขวางว่า system:กลุ่มที่ได้รับการรับรองความถูกต้องใน Google Kubernetes Engine มีเฉพาะข้อมูลประจำตัวที่ได้รับการยืนยันและกำหนดไว้เท่านั้น ในขณะที่ในความเป็นจริงจะรวมบัญชีที่ได้รับการรับรองความถูกต้องของ Google อื่นๆ ด้วย (แม้แต่ภายนอกองค์กร)”   กลุ่ม system:authenticated คือกลุ่มพิเศษที่รวมเอนทิตีที่ได้รับการรับรองความถูกต้องทั้งหมด โดยนับผู้ใช้ที่เป็นมนุษย์และบัญชีบริการ เป็นผลให้สิ่งนี้อาจส่งผลร้ายแรงเมื่อผู้ดูแลระบบมอบ roles ที่อนุญาตมากเกินไปโดยไม่ตั้งใจ โดยเฉพาะอย่างยิ่ง ผู้ดำเนินการคุกคามจากภายนอกที่ครอบครองบัญชี Google อาจใช้การกำหนดค่าที่ไม่ถูกต้องนี้ในทางที่ผิดโดยใช้โทเค็นผู้ถือ Google OAuth 2.0 ของตนเองเพื่อยึดการควบคุมคลัสเตอร์สำหรับการใช้ประโยชน์ที่ตามมา เช่น…