В движке Rancher Kubernetes Engine (RKE), широко используемом дистрибутиве Kubernetes, обнаружена критическая уязвимость.
Эта уязвимость, идентифицированная как CVE-2023-32191 и получившая максимальный балл CVSS, равный 10, представляет серьезную угрозу для безопасности и целостности кластеров Kubernetes, управляемых RKE.
RKE, известный тем, что полностью запускает Kubernetes в контейнерах Docker как на обычных, так и на виртуализированных серверах, имеет существенный недостаток в системе безопасности в способе хранения информации о состоянии кластера. Уязвимость возникает из-за того, что RKE хранит конфиденциальные учетные данные в ConfigMap, вызываемом full-cluster-state в kube-system пространстве имен кластера, пишет Securityonline.info.
По сути, любой, у кого есть доступ для чтения к этой ConfigMap, эффективно получает контроль административного уровня над всем кластером Kubernetes. Такой уровень доступа может привести к серьезным нарушениям конфиденциальности, целостности и доступности, потенциально подвергая угрозе всю облачную инфраструктуру организации воздействию злоумышленников.
«Современные технологии быстро меняются. Разработчики в погоне за скоростью или новым функционалом иногда допускают досадные ошибки, которые приводят к инцидентам с утечками данных. Вышеупомянутая ошибка позволяла захватить управление над всем кластером контейнеризации, что фактически является недопустимым событием, которое приводит к утечке или потери данных. Для того, чтобы минимизировать подобные риски, рекомендуется использовать специальные средства защиты информации, которые анализируют правильность настойки систем контейнеризации, прав доступа в системе контейнеризации и защищенность самих хостов. Примером такого специального ПО является Efros DefOps. Его применение позволяет использовать новейшие технологии в инфраструктуре компании с правильными параметрами и минимальными рисками для безопасности данных», – говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
