Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Schwerwiegender Fehler, der es Angreifern ermöglicht, die Kyverno-Signaturprüfung zu umgehen
Januar 13, 2023 - TuxCare PR Team
Nach Angaben der ARMO-Forscher weist der Kyverno-Zugangscontroller für Container-Images eine hochgradige Sicherheitslücke auf.
Mithilfe eines bösartigen Bildspeichers oder eines MITM-Proxys kann der Fehler (CVE-2022-47633) ausgenutzt werden, um einem Angreifer die Möglichkeit zu geben, unsignierte Bilder in den geschützten Cluster zu injizieren und so die Bildüberprüfungsrichtlinie zu umgehen.
Die Schwachstelle könnte es Angreifern ermöglichen, bösartigen Code in Cloud-Produktionsumgebungen einzuschleusen. Dabei können Benutzer die Open-Source-Kubernetes-Policy-Engine Kyverno verwenden, die Red Hat auf GitHub bereitstellt, um Richtlinien für ihren Cluster und ihre Anwendungen zu definieren und durchzusetzen.
Kyverno kann eingesetzt werden, um sicherzustellen, dass die Ressourcen, Anwendungen und anderen Komponenten eines Clusters die Betriebs-, Sicherheits- und Compliance-Anforderungen erfüllen. Eine erfolgreiche Ausnutzung der Schwachstelle könnte zu einem Problem in der Lieferkette führen.
Eine böswillige Bildregistrierung (oder ein Man-in-the-Middle-Angreifer) kann über die Schwachstelle zur Umgehung der Bildsignatur-Validierung in Kyverno 1.8.3 und 1.8.4 unsignierte beliebige Container-Images in einen geschützten Kubernetes-Cluster einschleusen. Aufgrund der Verwendung von verifyImages-Regeln für die Überprüfung, die unbekannte Registrierungen nicht verhindern können, wurde die Sicherheitslücke in Kyverno Version 1.8.3 eingeführt.
Nach Angaben der ARMO-Forscher entsteht die Schwachstelle dadurch, dass der Signaturvalidierungsprozess des Controllers das Bildmanifest zweimal herunterlädt, aber nur für einen der beiden Downloads eine Signatur verifiziert.
Den Forschern zufolge kann der Hacker nach dem Angriff erfolgreich das Kommando über den Pod des Opfers übernehmen und alle seine Ressourcen und Anmeldeinformationen, einschließlich des Dienstkontotokens, für den Zugriff auf den API-Server verwenden. Durch die Verwendung eines bösartigen Image-Repositorys oder eines MITM-Proxys, der ein anderes Manifest für den Verifizierungsprozess zurückgibt, wurde der Validierungsprozess umgangen.
Die Angreifer nutzten Social Engineering, um einen Administrator davon zu überzeugen, bösartige Bilder in Container einzufügen. Diese Images werden dann auf kompromittierten Konten gehostet, und mit Phishing-Angriffen werden die Benutzer dazu gebracht, sie ebenfalls zu verwenden. Wenn das Image zum ersten Mal importiert wird, gibt die bösartige Registry ein gültiges Image an den Admission Controller zurück.
Die Zulassungskontrollstelle hingegen fordert das Manifest des signierten Abbilds ein zweites Mal an, um den Digest für die Mutation zu erhalten, d. h. um das für den Menschen lesbare Tag des Containers zu aktualisieren. Diesmal wird keine Signierprüfung durchgeführt, so dass die bösartige Registrierung ein anderes, unsigniertes und bösartiges Image zurückliefern kann, das schließlich in Gang gesetzt und ausgeführt wird.
Die Schwachstelle wurde in Version 1.8.5 behoben, indem sichergestellt wird, dass derselbe Image-Hash, der zur Authentifizierung von Signaturen verwendet wird, auch zur Änderung der Workload-Spezifikation eingesetzt wird.
Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.
