GKEセキュリティ設定ミス、25万クラスターに危機

GKEセキュリティ設定ミス、25万クラスターに危機 - innovaTopia - (イノベトピア)

Last Updated on 2024-08-16 06:24 by admin

【ダイジェスト】

GoogleのKubernetesエンジン(GKE)における重大なセキュリティ設定ミスが発見され、任意のGmailアカウントを持つ攻撃者がKubernetesクラスターを乗っ取る可能性があることが明らかになりました。クラウドセキュリティ企業OrcaによってSys:Allとコードネームされたこの脆弱性は、推定で25万のアクティブなGKEクラスターに影響を及ぼす可能性があります。

セキュリティ研究者Ofir Yakobiによると、この問題は「system:authenticatedグループがGoogle Kubernetes Engine内で検証済みかつ決定的なアイデンティティのみを含むという広く誤解されている認識に起因している」とのことです。実際には、このグループには任意のGoogle認証アカウント(組織外のものも含む)が含まれています。このグループは、人間のユーザーやサービスアカウントなど、すべての認証されたエンティティを含む特別なグループです。その結果、管理者が誤って過剰な権限を与えた場合、深刻な結果を招く可能性があります。

具体的には、Googleアカウントを持つ外部の脅威アクターが、自分のGoogle OAuth 2.0ベアラートークンを使用してクラスターを掌握し、横移動、暗号通貨のマイニング、サービス拒否攻撃、機密データの盗難などの悪用を行う可能性があります。さらに悪いことに、この方法ではOAuthベアラートークンを取得した実際のGmailまたはGoogle Workspaceアカウントにリンクできる形でのトレースを残しません。

Sys:Allは多くの組織に影響を与え、JWTトークン、GCP APIキー、AWSキー、Google OAuth資格情報、プライベートキー、コンテナレジストリへの資格情報など、様々な機密データの露出につながっています。これらの資格情報は、コンテナイメージをトロイの木馬化するために使用される可能性があります。

Googleに責任を持って開示された後、同社はGKEバージョン1.28以降でsystem:authenticatedグループをcluster-adminロールにバインドすることをブロックする措置を講じました。Googleのドキュメントには、「GKEクラスターのバージョン1.28以降では、system:anonymousユーザーやsystem:unauthenticated、system:authenticatedグループにcluster-admin ClusterRoleをバインドすることはできない」と記載されています。

Googleはユーザーに対し、system:authenticatedグループをいかなるRBACロールにもバインドしないよう推奨しており、ClusterRoleBindingsおよびRoleBindingsを使用してグループがクラスターにバインドされているかどうかを評価し、安全でないバインディングを削除することを勧めています。

Orcaは、この方法を利用した大規模な攻撃の公開記録はないものの、時間の問題であり、ユーザーは適切なステップを踏んでクラスターアクセスコントロールを確保する必要があると警告しています。同社は、「これは改善ではあるが、他の多くのロールや権限がグループに割り当てられる可能性が残されていることに注意することが重要」と述べています。

【ニュース解説】

GoogleのKubernetesエンジン(GKE)におけるセキュリティ設定の誤りが発見され、この脆弱性を悪用することで、任意のGmailアカウントを持つ攻撃者がKubernetesクラスターを乗っ取る可能性があることが報告されました。この問題は、クラウドセキュリティ企業Orcaによって「Sys:All」と名付けられ、推定で25万のアクティブなGKEクラスターが影響を受ける可能性があるとされています。

この脆弱性は、Google Kubernetes Engine内で「system:authenticated」というグループが、検証済みで確定的なアイデンティティのみを含むと誤解されていたことに起因しています。しかし実際には、このグループには組織外のアカウントを含む、あらゆるGoogle認証アカウントが含まれているため、管理者がこのグループに過剰な権限を与えてしまうと、外部の脅威アクターがクラスターを掌握する危険性があります。

攻撃者は自分のGoogle OAuth 2.0ベアラートークンを使用してクラスターを乗っ取り、横移動、暗号通貨のマイニング、サービス拒否攻撃、機密データの盗難などの悪用を行うことができます。この攻撃方法は、OAuthベアラートークンを取得したアカウントに直接リンクできるトレースを残さないため、攻撃者の特定が困難です。

この脆弱性により、JWTトークン、GCP APIキー、AWSキー、Google OAuth資格情報、プライベートキー、コンテナレジストリへの資格情報など、多くの機密データが露出するリスクがあります。これらの情報は、コンテナイメージを改ざんするために使用される可能性があります。

Googleはこの問題に対処するため、GKEバージョン1.28以降で「system:authenticated」グループを「cluster-admin」ロールにバインドすることを禁止しました。また、ユーザーに対しては、system:authenticatedグループをRBACロールにバインドしないよう推奨し、既にバインドされている場合はそのバインディングを削除するよう促しています。

Orcaは、現時点でこの脆弱性を利用した大規模な攻撃は確認されていないものの、将来的に攻撃が発生する可能性があるため、ユーザーはクラスターアクセスコントロールを確実に保護するための対策を講じるべきだと警告しています。また、Googleの改善策により一部のリスクは軽減されましたが、他のロールや権限に対するリスクは依然として残っているため、引き続き注意が必要です。

from Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » GKEセキュリティ設定ミス、25万クラスターに危機