AWS ha corretto un bug Kubernetes piuttosto imbarazzante

AWS ha corretto un bug Kubernetes piuttosto imbarazzante

Amazon Web Services (AWS) ha risolto un bug piuttosto imbarazzante che poteva consentire agli hacker di ottenere privilegi elevati su un cluster Kubernetes.

Il bug è stato trovato in IAM Authenticator for Kubernetes, uno strumento plug-in utilizzato da Amazon EKS, un servizio di container gestito per l'esecuzione e il ridimensionamento delle applicazioni Kubernetes.

Descrivendo in dettaglio i suoi risultati in un avviso di sicurezza, AWS ha spiegato che il bug si manifesta quando il plug-in di autenticazione è configurato per utilizzare il parametro del modello AccessKeyID. In tutti gli altri scenari, gli utenti non erano a rischio.

Nomi di parametro duplicati

Il difetto è stato scoperto per la prima volta dal direttore della ricerca sulla sicurezza di Lightspin, Gafnit Amiga. In un post sul blog (si apre in una nuova scheda), ha osservato: "Ho riscontrato diversi difetti nel processo di autenticazione che potrebbero aggirare la protezione dagli attacchi di riproduzione o consentire a un utente malintenzionato di ottenere autorizzazioni più elevate sul cluster impersonando altre identità".

Il difetto è identificato come CVE-2022-2385, aggiunge Amiga, spiegando che il codice dovrebbe controllare il case dei parametri, ma non lo fa, e questo porta al bug. Gli hacker possono creare nomi di parametri duplicati e utilizzarli per ottenere privilegi elevati.

L'esecuzione, tuttavia, è più facile a dirsi che a farsi. "Poiché il ciclo for non è ordinato, i parametri non vengono sempre sostituiti nell'ordine desiderato, quindi potremmo dover inviare più volte la richiesta con il token dannoso al server AWS IAM Authenticator", ha concluso Amiga.

Tutti i cluster EKS esistenti sono stati aggiornati alla fine del mese scorso, mentre il nuovo autenticatore IAM per la versione Kubernetes non è più vulnerabile e non richiede ulteriori azioni da parte degli utenti. Tuttavia, coloro che ospitano e gestiscono i propri cluster Kubernetes e utilizzano il parametro del modello AccessKeyID dell'autenticatore IAM devono assicurarsi che il plug-in sia aggiornato alla versione 0.5.9.

Il bug è stato introdotto per la prima volta alla fine del 2017, ma è stato solo a settembre 2020 che è stato possibile sfruttarlo, ha concluso.

Via: Il Registro (si apre in una nuova scheda)