Lỗ hổng của Kubernetes cho phép kẻ xấu truy cập dữ liệu trên đám mây

09:00 | 11/12/2018 | LỖ HỔNG ATTT

Kubernetes - một công cụ dùng cho rất nhiều hạ tầng đám mây hiện đại vừa xuất hiện ỗ hổng an ninh lớn đầu tiên, cho phép kẻ xấu dễ dàng ruy cập các phần mềm ứng dụng hoạt động dựa trên công cụ này.

Lỗ hổng của Kubernetes cho phép kẻ xấu truy cập dữ liệu trên đám mây

Kubernetes là công cụ phần mềm quản lý số lớn các container. Container tương tự như những máy ảo chạy đa hệ điều hành trên cùng một máy tính vật lý nhưng thay vì chứa toàn bộ hệ điều hành, container chỉ chứa những gì cần để thực thi một ứng dụng (chẳng hạn như các thư viện ứng dụng và các thư viện hệ thống) và chia sẻ hệ điều hành với các container khác.

Container là những môi trường hoạt động nhỏ gọn, triển khai nhanh được thiết kế để hoạt động tốt giữa các môi trường khác nhau. Các công ty có thể chạy hàng chục hay hàng trăm ngàn container và điều đó khiến cho việc triển khai, cập nhật và quản lý chúng trở nên cực kỳ khó khăn. Kubernetes sẽ giúp quản lý các container theo từng nhóm - gọi là pod.

Công cụ này ban đầu xuất phát từ một dự án nguồn mở của Google và hiện đang được quản lý bởi Cloud Native Computing Foundation (CNCF) của Linux Foundation. Lỗ hổng mới phát hiện là lỗ hổng nghiêm trọng đầu tiên của Kubernetes, nó cho phép các yêu cầu với định dạng đặc biệt kết nối với các Kubernetes server và tạo ra các yêu cầu riêng của mình, do đó cho phép kẻ xấu can thiệp sâu vào hệ thống.

Nhóm Kubernetes thông báo về lỗ hổng với mã CVE-2018-1002105. Lỗ hổng nằm trong Kubernetes API server – công cụ phần mềm cho phép người dùng Kubernetes gửi các chỉ thị tới những Kubernetes pod qua HTTP API và cách API server giao tiếp với Kubernetes pod.

API server cho phép người dùng gửi yêu cầu qua các xác thực dựa trên chứng thư số. Nhưng nếu người dùng gửi một yêu cầu không đúng định dạng được thiết kế để trả về lỗi, server sẽ để mở đường kết nối với pod và cho phép các yêu cầu tiếp theo được gửi mà không kiểm tra xem người dùng đã được xác thực chưa. Đây thực sự là một lỗ hổng cho phép tăng quyền (privileges escalation).

Lỗ hổng này cho phép người dùng thông thường có quyền thực thi trên bất kỳ container nào trên máy chủ, kể cả những container có quyền đọc ghi hệ thống tệp của máy chủ. Nhờ đó, người dùng có thể truy cập tới mọi tiến trình đang chạy, kể cả luồng dữ liệu trao đổi giữa chúng.

Kẻ tấn công có thể lợi dụng lỗ hổng này để đánh cắp dữ liệu, khiến các ứng dụng bị treo hay chạy các lệnh độc hại. Có hai cách lợi dụng lỗ hổng: sử dụng các API server tổng hợp của Kubernetes bằng bất cứ tài khoản nào hoặc gọi API exec/attach/portforward – loại thường chỉ những tài khoản có quyền quản trị/sửa đổi mới được phép truy cập.

Red Hat đã cung cấp thêm thông tin chi tiết về ảnh hưởng của lỗ hổng này tới phiên bản 3.0 của OpenShift.

Kubernetes đã cung cấp bản vá và người dùng của các hệ thống hỗ trợ tính năng tự động vá lỗi đã được bảo vệ. Còn những người dùng khác thì nên nhanh chóng cập nhật bản vá cho hệ thống của mình.

Nguyễn Anh Tuấn

Theo Naked Security

‹ › ×

Tin liên quan

DigitalOcean cảnh báo về lỗ hổng ảnh hưởng đến người dùng điện toán đám mây

15:00 | 09/10/2017

Gần đây, công ty DigitalOcean (Mỹ) đã cảnh báo khách hàng về một số ứng dụng 1-Click chạy MySQL, sử dụng chung một tài khoản và mật khẩu mặc định trong tất cả các instance. Công ty cho biết vấn đề này cũng ảnh hưởng đến các nhà cung cấp dịch vụ đám mây khác.

Tấn công "Man-in-the-Cloud"

16:00 | 03/07/2019

Trong thời gian gần đây, đã xuất hiện một hình thức tấn công mới và trở nên phổ biến trong giới tội phạm mạng, được gọi là Man-in-the-Cloud (MitC) - có cơ chế hoạt động tương tự như tấn công Man in the Middle (MitM).

Phần mềm của Sennheiser có lỗ hổng liên quan đến chứng thực HTTPS

14:00 | 14/12/2018

Hãng sản xuất tai nghe Sennheiser (Đức) đang gặp sự cố với việc sản phẩm của họ làm mất an toàn thông tin khách hàng. Người dùng có thể bị theo dõi và giải mã lưu lượng truy cập web khi sử dụng phần mềm Headsetup và Headsetup Pro cho tai nghe Sennheiser trên máy tính.

Quản trị rủi ro trong điện toán đám mây

15:15 | 03/02/2016

Ngày nay, công nghệ điện toán đám mây rất phát triển, có thể đáp ứng yêu cầu của các tổ chức, doanh nghiệp về việc thuê ngoài dịch vụ CNTT nhằm giảm chi phí. Tuy nhiên, việc dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý và mọi truy cập đều phải thông qua hạ tầng công cộng khiến nhiều đơn vị còn nghi ngại.

Lỗi phần mềm khiến máy chủ trong kết nối RDP có thể tấn công máy khách

09:00 | 10/03/2019

Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Check Point (Israel) đã phát hiện ra hơn 20 lỗ hổng trong các ứng dụng RDP client nguồn mở và RDP client độc quyền của Microsoft có thể cho phép máy chủ RDP độc hại xâm nhập máy tính của khách hàng.

Chứng chỉ điện toán đám mây trong kỷ nguyên đám mây

16:00 | 06/05/2019

Tháng 4/2019, tại TP Hồ Chí Minh đã diễn ra Diễn đàn CSA Châu Á Thái Bình Dương 2019 (CSA APAC Summit 2019) với chủ đề “Moving in Cloud - Chuyển đổi sang điện toán đám mây” do Hiệp hội An toàn Đám mây (Cloud Security Alliance - CSA) tổ chức. CSA được biết đến là tổ chức phi lợi nhuận hoạt động với mục đích thúc đẩy việc áp dụng các biện pháp tốt nhất để đem lại an toàn điện toán đám mây.

3 lỗi mã thực thi được phát hiện trong phần mềm xử lý văn bản Atlantis

11:00 | 14/12/2018

Người dùng nên cẩn trọng khi mở các tệp đính kèm của thư điện tử tưởng như vô hại, đặc biệt là tệp văn bản và pdf.

Tin cùng chuyên mục

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:00 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

Các mối đe dọa trên Google Play được giao dịch trên web đen

13:00 | 29/12/2023

Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.