U Kubernetesu otkrivena vrlo opasna ranjivost

Kubernetesov open source container softver našao se u problemima jer je ranjivost CVE-2018-1002105 pronađena u njemu ipak daleko opasnija nego se možda isprva mislilo. S obzirom da je Kubernetes dio većine današnje cloud infrastrukture, situacija je još kritičnija. A kad se zna da ranjivost omogućava napadaču pristup sustavu za krađu podataka ili rušenje aplikacija, onda je i još kritičnija.

Naime, zbog posebno izvedenog zahtjeva za uspostavu veze kroz Kubernetes API server, gdje se problem nalazi, prema bilo kojem povezanom pozadinskom serveru, čije ime je kubelets. To su zapravo mali moduli odgovorni za pokretanje i rad bilo koje specifične mašine.

Stoga, kad je veza uspostavljena, ne postoji provjera slanja zahtjeva prema kubeletsima iz razloga što se kao autorizacija vrednuje Kubernetesovi TSL akreditivi (eng., credentials). Ukratko, kubeletsi vjeruju Kubernetes API serveru u kojem se nalazi ranjivost i kroz njega napadači mogu pridobiti kontrolu kakvu žele. A to može biti uistinu pogubno, zbog čega je dobro da se ranjivost razotkrila. Iako, postoji od verzije 1.0 i veliko je iznenađenje da nije bila poznata ranije.

Sad kad je otkrivena, Kubernetes je nadopunama odlučio ispraviti grešku za verzije v1.10.11, v1.11.5 i v1.12.3, ali individualni distrosi morat će izdati svoje zasebne nadopune kako bi riješili problem. Također, Red Hat je nadogradio svoj OpenShift Container Platform, a korisnici bi trebali posjetiti stranice vezane za sigurnost Debiana i SUSE distribucija za više informacija oko potrebnih nadopuna.

I prije je postojalo nepovjerenje zajednice u containere i njihovu sigurnost, a nakon ove situacije to će se sasvim sigurno dodatno pogoršati. Naime, trećina organizacija nema povjerenja u njih, a dodatnih 15 posto smatra da ne rade dovoljno kako bi nadgledali containerse, odnosno, specifično one od strane Kubernetesa.