【网络安全|信息泄露】谷歌容器云曝“严重风险”:上千 Kubernetes 集群可能暴露,涉某上市公司

有消息称:谷歌刚刚修复了一个影响重要云服务的漏洞。

【网络安全|信息泄露】谷歌容器云曝“严重风险”:上千 Kubernetes 集群可能暴露,涉某上市公司_第1张图片
此前研究人员发现,多家组织(包括一家上市公司)的系统容易受到该漏洞影响。

该问题影响了谷歌Kubernetes引擎(GKE),这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务,广泛用于医疗保健、教育、零售和金融服务,以及数据处理和人工智能与机器学习操作。

云安全厂商Orca Security的研究人员解释说,他们在GKE中发现了一个问题,“可以让攻击者使用任何有效的谷歌帐号,接管配置错误的Kubernetes集群,这可能导致严重的安全事件,如加密挖矿、拒绝服务和敏感数据窃取。”

该问题主要与权限有关,GKE允许用户使用任何有效的谷歌帐户访问系统。

Orca Security表示,“当管理员决定将某个组绑定到权限过大的角色时,会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。
【网络安全|信息泄露】谷歌容器云曝“严重风险”:上千 Kubernetes 集群可能暴露,涉某上市公司_第2张图片

客户资产大门洞开

Orca Security表示,至少有一个受影响的集群属于一家纳斯达克上市公司,暴露信息给黑客提供了访问AWS网络服务凭证的权限,得以更深入地访问该公司的系统和数据。研究人员说,恶意行为者“有可能访问这些系统,提取或操纵敏感数据,干扰服务,甚至更进一步进入网络。”

Orca Security表示,他们向该公司报告了这个问题,并与之合作解决了这些漏洞,其中包括收紧权限、保护暴露的云储存桶等。

研究人员同时向其他多家易受漏洞影响的企业报告了这个问题,并指出,所有组织“应该始终在身份和访问领域追求细粒度,避免给不需要的实体赋予过多的访问权限。”

Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性,并“积极采取预防措施、发布客户通知,还将继续采取行动确保客户安全。”

一位谷歌发言人表示,他们与Orca Security合作解决该漏洞。

发言人指出,谷歌还在上周发布了一份安全公告,“针对有限数量的受影响GKE用户,详细说明了他们应采取的步骤,以保护自己免受任何意外授权的伤害。”

谷歌还向一些客户直接发送了这份公告。

谷歌在1月19日发布的建议中说道,“我们已经确定了几个群集,用户已经授予Kubernetes权限给system:authenticated组,其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定,因为它们违反了最小权限原则,向过多用户群体授予了访问权限。”

Orca Security指出,谷歌认为这是“可以预期的问题”,因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。

研究人员认同谷歌的评估,即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”

前面提的这些技术我都整理录制成了视频教程,如果你也想学习,可以看一下

学完可以达到黑客高手的水平,想打CTF比赛或者挖漏洞都没有问题,关键是你能否坚持学完它。做人要有梦想,不然和咸鱼有什么区别,下一个加入蓝莲花战队的就是你。
【网络安全|信息泄露】谷歌容器云曝“严重风险”:上千 Kubernetes 集群可能暴露,涉某上市公司_第3张图片

【网络安全|信息泄露】谷歌容器云曝“严重风险”:上千 Kubernetes 集群可能暴露,涉某上市公司_第4张图片

你可能感兴趣的:(web安全,kubernetes,安全,网络安全,xss,开发语言,googlecloud)