发现潜在的严重漏洞(CVE-2018-1002100)并在流行的开源容器编排系统和DevOps工具Kubernetes中对其进行修补的一年后,研究人员发现该漏洞仍可以被利用。
Twistlock的研究人员指出,Kubernetes和OpenShift开发人员修补的路径遍历和任意代码执行漏洞尚未完全修复,并演示了攻击者仍可以利用它。
此漏洞(现在已获得更新的CVE标识符(CVE-2019-1002101))被标记为严重程度高的问题,Kubernetes发布了一份建议,敦促用户升级到版本1.11.9、1.12.7、1.13。 .5和1.14.0,已经解决了此漏洞。
[阅读:StackStorm DevOps软件漏洞CVE-2019-9580允许远程执行代码]
该漏洞涉及kubectl,它是Kubernetes的命令行工具,用于在系统上部署和管理应用程序。 该漏洞是在kubectl的 cp 命令中发现的,该命令允许在容器之间复制文件和目录。
要成功地从容器复制文件,Kubernetes会在容器内部创建一个tar二进制文件。 tar是通过网络复制的,并使用kubectl在用户的工作站上解压缩。 容器中的此tar二进制文件是 cp 命令运行的先决条件—如果攻击者将其恶意化,则该命令可以运行任何可能严重影响系统的代码。 修复CVE-2018-1002100之后,不限制函数将调用一个函数来剥离路径遍历。
但是,根据Twistlock的Ariel Zelivansky撰写的帖子,相同的函数可以跟随并从tar标头创建符号链接。 这意味着攻击者可以创建恶意的tar,使其包含指向任何路径的符号链接,以及指向与该符号链接相同名称的目录的另一个标头中的文件。 当攻击者调用untarring函数时,该链接将允许在路径中修改或创建文件。
如果攻击者将漏洞滥用到了目标企业,则他们可以访问潜在的机密和敏感信息。 Zelivansky还提到,如果kubectl以root特权运行,则攻击者可以利用此漏洞并实现远程代码执行。 但是,kubectl通常以用户身份运行,这将使攻击者更难于成功地执行代码。
[阅读:Apache Struts中发现的关键远程代码执行漏洞(CVE-2018-11776)] 趋势科技建议和解决方案
越来越多的企业开始使用DevOps来确保他们集中软件或应用程序发布周期,以提高质量,安全性和可伸缩性,并共同承担创建整个软件或应用程序中安全且合规的应用程序的责任。 应用程序生命周期。 当发现漏洞时,通过设计进一步强调安全性的重要性。
为了确保保护容器计算机免受使用诸如CVE-2018-1002100和CVE-2019-1002101之类的漏洞的攻击,我们建议组织实施以下最佳实践: 定期并持续更新计算机,以最大程度地利用漏洞。 升级到最新版本的Kubernetes,以利用新的安全功能以及漏洞修复程序。 避免使用root特权运行容器,尤其是默认配置时。 为确保正确保护计算机免受潜在攻击,请仅将它们用作应用程序用户。
安全解决方案通过防止容器编排系统(如Kubernetes)中的漏洞的潜在影响来支持DevOps流程。 例如,趋势科技™混合云安全解决方案提供威胁防御,以保护运行时物理,虚拟和云工作负载,容器以及在开发阶段扫描容器映像。
Trend Micro帮助DevOps团队安全地构建,快速交付并在任何地方运行。 趋势科技混合云安全解决方案在组织的DevOps管道内提供了强大,简化和自动化的安全性,并提供了多种XGen™威胁防御技术来保护运行时的物理,虚拟和云工作负载。 它还通过趋势科技服务器深度安全防护系统™解决方案和趋势科技服务器深度安全防护系统智能检查来增强对容器的保护,趋势科技服务器深度安全防护系统智能检查会在开发流程的任何阶段扫描容器映像中的恶意软件和漏洞,以在部署威胁之前阻止威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢