Kubernetes 项目最近修补了一个危险的安全漏洞，这个漏洞允许狡猾的攻击者在主机上运行代码。该漏洞不会影响 Kubernetes 系统本身，而是会影响到 kubectl（ Kube 控件），该控件是用于 Kubernetes 安装的官方命令行实用程序。安全研究人员在 kubectlcp（复制）操作中发现了一个安全漏洞，该操作用于将文件从容器传输到用户主机。

StackRox 联合创始人兼产品副总裁 Wei Lien Dang 认为该漏洞非常危险。Kubernetes 产品安全委员会委员 Joel Smith 表示此漏洞的详细信息与 CVE-2019-1002101 非常相似。建议安装 Kubernetes 的公司和开发人员将 kubectl 和 Kubernetes 升级到1.12.9,1.13.6 或 1.14.2 或更高版本。

黑客可通过“复制”操作执行代码

Kubernetes 产品安全委员会委员 Joel Smith 说：“为了从容器中复制文件，Kubernetes 会在容器内运行 tar 以创建一个 tar 存档，再通过网络复制它，kubectl 最后会将其解压到用户的机器上。”

他说：“如果容器中的 tar 二进制文件是恶意的，那么它可以运行任何代码并输出恶意结果。当调用 kubectlcp 时，攻击者可以使用该 tar 将文件写入用户计算机上的任何路径，而仅受本地用户系统权限的限制。“但利用这个漏洞并不简单，因为攻击者需要首先将恶意文件放在 Kubernetes 容器中，然后等待 Kubernetes 管理员将这些文件传输到系统中。恶意文件会自动执行。然而，这种攻击还需要运气和一点社交手段才能成功。

主机侵入可能导致系统彻底被攻破

尽管如此，StackRox 联合创始人兼产品副总裁 Wei Lien Dang 认为该漏洞非常危险。Wei 在一封电子邮件中告诉外媒 ZDNet，“此漏洞令人担忧，因为它允许攻击者覆盖敏感文件路径或添加恶意程序文件，然后利用这些文件破坏 Kubernetes 环境的重要组成部分” 。

“这种类型的漏洞显示了客户端漏洞如何潜在地被用来破坏生产环境，特别是鉴于我们观察到人们并不总是遵循降低这种威胁的最佳实践……例如，用户可能正在生产节点上运行 kubectl，或者没有适当地基于角色的访问控制来限制对整个集群的访问权，或者用户使用了提升后的本地系统权限，”Wei 补充道。 “此外，该漏洞修复程序需要被升级到最新版的 kubectl 中，但这可能更难执行，因为它需要个人用户自己去升级。”

该漏洞目前已经打了两次补丁

该漏洞编号为 CVE-2019-11246，由 Atredis Partners 公司的 Charles Holmes 发现，是云原生计算基金会赞助的安全审计的一部分。“这个漏洞是之前披露的漏洞 (CVE-2019-1002101) 不完整修复之后留下的问题，”Wei说，漏洞首次修复于今年3月。

“此漏洞的详细信息与 CVE-2019-1002101 非常相似。该问题的原始修复程序不完整，并且我们还发现了一种新的利用漏洞的方法，”Smith说。

我们建议自行安装 Kubernetes 的公司和开发人员将 kubectl 和 Kubernetes 升级到1.12.9,1.13.6 或 1.14.2 或更高版本。

谷歌云 K8S 同样脆弱

在安全报告中，Google Cloud 管理员表示，“所有 Google Kubernetes Engine (GKE) gcloud 版本都受到此漏洞的影响，因此我们建议您在 gcloud 补丁版本可用时升级到最新版本。”

目前，这个补丁还没有出来。“即将推出的补丁版本将包括此漏洞风险的缓解措施，”谷歌表示。谷歌建议 Google Cloud 客户留意该工具的更新日志，以下载与 kubectl 相关的安全修复程序。

作者介绍：
Catalin Cimpanu，ZDNet的一名安全记者，报道主题包括：网络安全、数据违规、非法侵入等。此前，他曾担任 Bleeping Computer 和 Softpedia 的安全记者。现居住于罗马尼亚。

原文链接：
Kubernetes CLI tool security flaw lets attackers run code on host machine

创作场景

Kubernetes CLI 工具安全漏洞可使攻击者在主机运行代码