Amazon Web Services (AWS) a corrigé un bogue plutôt embarrassant qui pouvait permettre aux pirates d'obtenir des privilèges élevés sur un cluster Kubernetes.
Le bogue a été trouvé dans IAM Authenticator for Kubernetes, un outil de plug-in utilisé par Amazon EKS, un service de conteneur géré pour l'exécution et la mise à l'échelle des applications Kubernetes.
Détaillant ses conclusions dans un avis de sécurité, AWS a expliqué que le bogue se manifeste lorsque le plug-in d'authentification est configuré pour utiliser le paramètre de modèle AccessKeyID. Dans tous les autres scénarios, les utilisateurs n'étaient pas à risque.
Noms de paramètre en double
La faille a été découverte pour la première fois par le directeur de la recherche en sécurité de Lightspin, Gafnit Amiga. Dans un article de blog (s'ouvre dans un nouvel onglet), il a noté : "J'ai trouvé plusieurs failles dans le processus d'authentification qui pourraient contourner la protection contre les attaques par rejeu ou permettre à un attaquant d'obtenir des autorisations plus élevées sur le cluster en se faisant passer pour d'autres identités".
La faille est identifiée comme CVE-2022-2385, ajoute Amiga, expliquant que le code devrait vérifier la casse des paramètres, mais ce n'est pas le cas, et cela conduit au bogue. Les pirates peuvent créer des noms de paramètres en double et les utiliser pour obtenir des privilèges élevés.
L'exécution, cependant, est plus facile à dire qu'à faire. "Parce que la boucle for n'est pas ordonnée, les paramètres ne sont pas toujours remplacés dans l'ordre que nous voulons, nous devrons donc peut-être envoyer la requête avec le jeton malveillant au serveur AWS IAM Authenticator plusieurs fois", a conclu Amiga.
Tous les clusters EKS existants ont été corrigés à la fin du mois dernier, tandis que la nouvelle version de l'authentificateur IAM pour Kubernetes n'est plus vulnérable et ne nécessite aucune autre action de la part des utilisateurs. Cependant, ceux qui hébergent et gèrent leurs propres clusters Kubernetes et utilisent le paramètre de modèle AccessKeyID de l'authentificateur IAM doivent s'assurer que le plug-in est mis à jour vers la version 0.5.9.
Le bogue a été introduit pour la première fois fin 2017, mais ce n'est qu'en septembre 2020 qu'il a pu être exploité, a-t-il conclu.
Via : Le registre (Ouvre dans un nouvel onglet)