Amazon Web Services (AWS) solucionó un error bastante vergonzoso que podría permitir a los piratas informáticos obtener privilegios elevados en un clúster de Kubernetes.
El error se encontró en IAM Authenticator para Kubernetes, una herramienta de complemento utilizada por Amazon EKS, un servicio de contenedor administrado para ejecutar y escalar aplicaciones de Kubernetes.
Al detallar sus hallazgos en un aviso de seguridad, AWS explicó que el error se manifiesta cuando el complemento de autenticación está configurado para usar el parámetro del modelo AccessKeyID. En todos los demás escenarios, los usuarios no estaban en riesgo.
Nombres de parámetros duplicados
La falla fue descubierta por primera vez por el director de investigación de seguridad de Lightspin, Gafnit Amiga. En una publicación de blog (se abre en una nueva pestaña), señaló: «Encontré varias fallas en el proceso de autenticación que podrían eludir la protección contra ataques de repetición o permitir que un atacante obtenga permisos más altos en el clúster haciéndose pasar por otras identidades».
La falla se identifica como CVE-2022-2385, agrega Amiga, explicando que el código debe verificar las mayúsculas de los parámetros, pero no lo hace, y eso lleva al error. Los piratas informáticos pueden crear nombres de parámetros duplicados y usarlos para obtener privilegios elevados.
La ejecución, sin embargo, es más fácil decirlo que hacerlo. «Debido a que el bucle for no está ordenado, los parámetros no siempre se reemplazan en el orden que queremos, por lo que es posible que debamos enviar la solicitud con el token malicioso al servidor AWS IAM Authenticator varias veces», concluyó Amiga.
Todos los clústeres de EKS existentes se parchearon a fines del mes pasado, mientras que el nuevo autenticador de IAM para la versión de Kubernetes ya no es vulnerable y no requiere ninguna otra acción por parte de los usuarios. Sin embargo, aquellos que alojan y administran sus propios clústeres de Kubernetes y usan el parámetro del modelo AccessKeyID del autenticador de IAM deben asegurarse de que el complemento esté actualizado a la versión 0.5.9.
El error se introdujo por primera vez a fines de 2017, pero no fue hasta septiembre de 2020 que se pudo explotar, concluyó.
Via : Le registre (Ouvre dans un nouvel onglet)
