Lỗ hổng của Kubernetes cho phép kẻ xấu truy cập dữ liệu trên đám mây

09:00 | 11/12/2018 | LỖ HỔNG ATTT

Kubernetes - một công cụ dùng cho rất nhiều hạ tầng đám mây hiện đại vừa xuất hiện ỗ hổng an ninh lớn đầu tiên, cho phép kẻ xấu dễ dàng ruy cập các phần mềm ứng dụng hoạt động dựa trên công cụ này.

Lỗ hổng của Kubernetes cho phép kẻ xấu truy cập dữ liệu trên đám mây

Kubernetes là công cụ phần mềm quản lý số lớn các container. Container tương tự như những máy ảo chạy đa hệ điều hành trên cùng một máy tính vật lý nhưng thay vì chứa toàn bộ hệ điều hành, container chỉ chứa những gì cần để thực thi một ứng dụng (chẳng hạn như các thư viện ứng dụng và các thư viện hệ thống) và chia sẻ hệ điều hành với các container khác.

Container là những môi trường hoạt động nhỏ gọn, triển khai nhanh được thiết kế để hoạt động tốt giữa các môi trường khác nhau. Các công ty có thể chạy hàng chục hay hàng trăm ngàn container và điều đó khiến cho việc triển khai, cập nhật và quản lý chúng trở nên cực kỳ khó khăn. Kubernetes sẽ giúp quản lý các container theo từng nhóm - gọi là pod.

Công cụ này ban đầu xuất phát từ một dự án nguồn mở của Google và hiện đang được quản lý bởi Cloud Native Computing Foundation (CNCF) của Linux Foundation. Lỗ hổng mới phát hiện là lỗ hổng nghiêm trọng đầu tiên của Kubernetes, nó cho phép các yêu cầu với định dạng đặc biệt kết nối với các Kubernetes server và tạo ra các yêu cầu riêng của mình, do đó cho phép kẻ xấu can thiệp sâu vào hệ thống.

Nhóm Kubernetes thông báo về lỗ hổng với mã CVE-2018-1002105. Lỗ hổng nằm trong Kubernetes API server – công cụ phần mềm cho phép người dùng Kubernetes gửi các chỉ thị tới những Kubernetes pod qua HTTP API và cách API server giao tiếp với Kubernetes pod.

API server cho phép người dùng gửi yêu cầu qua các xác thực dựa trên chứng thư số. Nhưng nếu người dùng gửi một yêu cầu không đúng định dạng được thiết kế để trả về lỗi, server sẽ để mở đường kết nối với pod và cho phép các yêu cầu tiếp theo được gửi mà không kiểm tra xem người dùng đã được xác thực chưa. Đây thực sự là một lỗ hổng cho phép tăng quyền (privileges escalation).

Lỗ hổng này cho phép người dùng thông thường có quyền thực thi trên bất kỳ container nào trên máy chủ, kể cả những container có quyền đọc ghi hệ thống tệp của máy chủ. Nhờ đó, người dùng có thể truy cập tới mọi tiến trình đang chạy, kể cả luồng dữ liệu trao đổi giữa chúng.

Kẻ tấn công có thể lợi dụng lỗ hổng này để đánh cắp dữ liệu, khiến các ứng dụng bị treo hay chạy các lệnh độc hại. Có hai cách lợi dụng lỗ hổng: sử dụng các API server tổng hợp của Kubernetes bằng bất cứ tài khoản nào hoặc gọi API exec/attach/portforward – loại thường chỉ những tài khoản có quyền quản trị/sửa đổi mới được phép truy cập.

Red Hat đã cung cấp thêm thông tin chi tiết về ảnh hưởng của lỗ hổng này tới phiên bản 3.0 của OpenShift.

Kubernetes đã cung cấp bản vá và người dùng của các hệ thống hỗ trợ tính năng tự động vá lỗi đã được bảo vệ. Còn những người dùng khác thì nên nhanh chóng cập nhật bản vá cho hệ thống của mình.

Nguyễn Anh Tuấn

Theo Naked Security

‹ › ×

Tin liên quan

DigitalOcean cảnh báo về lỗ hổng ảnh hưởng đến người dùng điện toán đám mây

15:00 | 09/10/2017

Gần đây, công ty DigitalOcean (Mỹ) đã cảnh báo khách hàng về một số ứng dụng 1-Click chạy MySQL, sử dụng chung một tài khoản và mật khẩu mặc định trong tất cả các instance. Công ty cho biết vấn đề này cũng ảnh hưởng đến các nhà cung cấp dịch vụ đám mây khác.

Tấn công "Man-in-the-Cloud"

16:00 | 03/07/2019

Trong thời gian gần đây, đã xuất hiện một hình thức tấn công mới và trở nên phổ biến trong giới tội phạm mạng, được gọi là Man-in-the-Cloud (MitC) - có cơ chế hoạt động tương tự như tấn công Man in the Middle (MitM).

Phần mềm của Sennheiser có lỗ hổng liên quan đến chứng thực HTTPS

14:00 | 14/12/2018

Hãng sản xuất tai nghe Sennheiser (Đức) đang gặp sự cố với việc sản phẩm của họ làm mất an toàn thông tin khách hàng. Người dùng có thể bị theo dõi và giải mã lưu lượng truy cập web khi sử dụng phần mềm Headsetup và Headsetup Pro cho tai nghe Sennheiser trên máy tính.

Quản trị rủi ro trong điện toán đám mây

15:15 | 03/02/2016

Ngày nay, công nghệ điện toán đám mây rất phát triển, có thể đáp ứng yêu cầu của các tổ chức, doanh nghiệp về việc thuê ngoài dịch vụ CNTT nhằm giảm chi phí. Tuy nhiên, việc dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý và mọi truy cập đều phải thông qua hạ tầng công cộng khiến nhiều đơn vị còn nghi ngại.

Lỗi phần mềm khiến máy chủ trong kết nối RDP có thể tấn công máy khách

09:00 | 10/03/2019

Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Check Point (Israel) đã phát hiện ra hơn 20 lỗ hổng trong các ứng dụng RDP client nguồn mở và RDP client độc quyền của Microsoft có thể cho phép máy chủ RDP độc hại xâm nhập máy tính của khách hàng.

Chứng chỉ điện toán đám mây trong kỷ nguyên đám mây

16:00 | 06/05/2019

Tháng 4/2019, tại TP Hồ Chí Minh đã diễn ra Diễn đàn CSA Châu Á Thái Bình Dương 2019 (CSA APAC Summit 2019) với chủ đề “Moving in Cloud - Chuyển đổi sang điện toán đám mây” do Hiệp hội An toàn Đám mây (Cloud Security Alliance - CSA) tổ chức. CSA được biết đến là tổ chức phi lợi nhuận hoạt động với mục đích thúc đẩy việc áp dụng các biện pháp tốt nhất để đem lại an toàn điện toán đám mây.

3 lỗi mã thực thi được phát hiện trong phần mềm xử lý văn bản Atlantis

11:00 | 14/12/2018

Người dùng nên cẩn trọng khi mở các tệp đính kèm của thư điện tử tưởng như vô hại, đặc biệt là tệp văn bản và pdf.

Tin cùng chuyên mục

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.

Giải mã phần mềm độc hại SugarGh0st RAT mới nhắm vào Chính phủ Uzbekistan và người dùng tại Hàn Quốc

12:00 | 15/12/2023

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.

Phân tích phần mềm độc hại RisePro: Khám phá giao tiếp C2 trong phiên bản mới

13:00 | 14/12/2023

RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).