Support technique
Documentation
Connexion
Nous contacter
Une faille de haute gravité permet aux attaquants de contourner la vérification de la signature Kyverno.
Le 13 janvier 2023 - L'équipe de relations publiques de TuxCare
Selon les chercheurs de l'ARMO, le contrôleur d'admission Kyverno pour les images de conteneurs présente une vulnérabilité de sécurité de haute gravité.
En utilisant un dépôt d'images malveillant ou un proxy MITM, le bogue (CVE-2022-47633) peut être exploité pour permettre à un attaquant d'injecter des images non signées dans le cluster protégé, en contournant la politique de vérification des images.
La faille pourrait permettre à des attaquants d'injecter du code malveillant dans des environnements de production cloud. Les utilisateurs peuvent utiliser le moteur de politique Kubernetes open-source Kyverno, que Red Hat maintient sur GitHub, pour définir et appliquer des politiques pour leur cluster et leurs applications.
Kyverno peut être utilisé pour s'assurer que les ressources, les applications et les autres composants d'un cluster répondent aux exigences opérationnelles, de sécurité et de conformité. Une exploitation réussie de la vulnérabilité pourrait conduire à un problème de chaîne d'approvisionnement.
Un registre d'images malveillant (ou un attaquant de type man-in-the-middle) peut injecter des images de conteneurs arbitraires non signées dans un cluster Kubernetes protégé via la vulnérabilité de contournement de la validation de la signature des images dans Kyverno 1.8.3 et 1.8.4. En raison de l'utilisation des règles verifyImages pour la vérification, qui ne peuvent pas empêcher les registres inconnus, la vulnérabilité a été introduite dans la version 1.8.3 de Kyverno.
Selon les chercheurs de l'ARMO, la vulnérabilité provient du fait que le processus de validation de la signature du contrôleur télécharge deux fois le manifeste de l'image mais ne vérifie la signature que pour l'un des téléchargements.
Selon les chercheurs, après l'attaque, le pirate peut prendre le contrôle du pod de la victime et utiliser toutes ses ressources et informations d'identification, y compris le jeton de compte de service, pour accéder au serveur API. En utilisant un dépôt d'images malveillant ou un proxy MITM pour renvoyer un manifeste différent pour le processus de vérification, le processus de validation a été contourné.
Les attaquants ont utilisé l'ingénierie sociale pour convaincre un administrateur d'insérer des images malveillantes dans les conteneurs. Ces images sont ensuite hébergées sur des comptes compromis, et des attaques de phishing sont utilisées pour inciter les utilisateurs à les utiliser également. Lors de la première importation de l'image, le registre malveillant renvoie au contrôleur d'admission une image valide.
Le contrôleur d'admission, quant à lui, demande une seconde fois le manifeste de l'image signée afin d'obtenir le condensé pour la mutation, c'est-à-dire pour mettre à jour l'étiquette lisible par l'homme du conteneur. Cette fois, aucune validation de la signature n'est effectuée, ce qui permet au registre malveillant de renvoyer une image différente, non signée et malveillante, qui est finalement lancée et exécutée.
La vulnérabilité a été corrigée dans la version 1.8.5 en garantissant que le même hachage d'image utilisé pour authentifier les signatures est également employé pour modifier la spécification de la charge de travail.
Les sources de cette pièce incluent un article dans DarkReading.
