Google Cloud a rapidement réagi à une faille de sécurité de gravité moyenne dans sa plateforme qui pourrait présenter un risque pour les clusters Kubernetes. La vulnérabilité, découverte et signalée par Palo Alto Networks Unit 42, a le potentiel d’être exploitée par un attaquant ayant déjà accès à un cluster Kubernetes, ciblant spécifiquement le conteneur de journalisation Fluent Bit.

Cette faille, en cas d’abus, pourrait permettre à l’attaquant d’élever ses privilèges au sein du cluster, entraînant des menaces potentielles telles que le vol de données, le déploiement de pods malveillants et la perturbation des opérations du cluster. Google Cloud a résolu le problème dans les dernières versions de Google Kubernetes Engine (GKE) et Anthos Service Mesh (ASM), éliminant ainsi le risque associé à cette vulnérabilité.

Un attaquant ayant accès à un conteneur de journalisation Fluent Bit compromis pourrait avoir des privilèges élevés dans le cluster.

Google Cloud a révélé la faille de sécurité dans un avis publié le 14 décembre 2023, fournissant des détails sur le scénario d’exploitation potentiel. Selon l’avis, un attaquant qui a compromis le conteneur de journalisation Fluent Bit peut exploiter cet accès ainsi que les privilèges élevés requis par Anthos Service Mesh (sur les clusters activés) pour élever ses privilèges au sein du cluster Kubernetes.

Cela pourrait ouvrir la porte à diverses mauvaises activités, qui incluent non seulement le vol de données, mais également des perturbations dans les opérations normales du cluster. Il n’existe actuellement aucune preuve qu’un mauvais acteur abuse de ce défaut dans la nature. Cependant, en plus de fournir davantage de stockage cloud aux utilisateurs de Workspace, Google Cloud a pris des mesures proactives pour résoudre le problème dans les versions concernées de Google Kubernetes Engine et d’Anthos Service Mesh.

Les versions 1.25.16-gke.1020000, 1.26.10-gke.1235000, 1.27.7-gke.1293000, 1.28.4-gke.1083000 pour GKE et 1.17.8-asm.8, 1.18.6-asm .2, 1.19.5-asm.4 pour ASM corrigent la vulnérabilité de sécurité.

Google Cloud a supprimé l’accès de Fluent Bit aux jetons de compte de service et a éliminé RBAC, corrigeant ainsi la faille de sécurité.

Google Cloud a expliqué que les développeurs avaient configuré Fluent Bit sur GKE pour collecter les journaux des charges de travail Cloud Run. Cet arrangement accordait à Fluent Bit l’accès aux jetons de compte de service Kubernetes pour d’autres pods sur le nœud, comme le rapporte TheHackerNews. Cela constituait un point d’entrée potentiel pour les attaquants.

Pour remédier à la faille de sécurité, Google Cloud a supprimé l’accès de Fluent Bit aux jetons de compte de service et a réorganisé l’utilitaire d’Anthos Service Mesh pour éliminer les autorisations excessives de contrôle d’accès basé sur les rôles (RBAC). Le correctif vise à améliorer la sécurité globale des clusters Kubernetes sur Google Cloud en écartant les scénarios potentiels d’élévation des privilèges.

A lire également