El error contenido expone las credenciales de la cuenta en la nube - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El error contenido expone las credenciales de la cuenta en la nube

Hola de nuevo. Te escribe Eduardo Arroyo y esta vez te voy a hablar sobre El error contenido expone las credenciales de la cuenta en la nube

El error contenido expone las credenciales de la cuenta en la nube

La falla (CVE-2020-15157) radica en el proceso de extracción de la imagen del contenedor.

Se puede aprovechar una vulnerabilidad de seguridad para obligar a la plataforma en la nube en contenedor a exponer el registro de host de los usuarios o las credenciales de la cuenta en la nube.

Contenedor Le pagan como una herramienta en tiempo de ejecución que «gestiona el ciclo de vida completo del contenedor de su sistema host, desde la transferencia y el almacenamiento de imágenes hasta la ejecución y supervisión del contenedor, el almacenamiento de bajo nivel hasta los adjuntos de red y más». Como tal, ofrece una visibilidad en profundidad del entorno de nube de un usuario, a través de múltiples proveedores.

El error (CVE-2020-15157) se encuentra en el proceso de extracción de la imagen del contenedor, según Gal Singer, investigadora de Aqua. Los adversarios pueden aprovechar esta vulnerabilidad creando imágenes de contenedor dedicadas diseñadas para robar el token del host y luego usando el token para detectar un proyecto en la nube, explicó.

«Una imagen de contenedor es una combinación de un archivo de manifiesto y algunos archivos de capa individuales», escribió en un archivo. publicación reciente. «El manifiesto [in Image V2 Schema 2 format]… puede contener una «capa externa» que se extrae de un registro remoto. Al usar containerd, si el registro remoto responde con un código de estado HTTP 401, junto con encabezados HTTP específicos, el host enviará un token de autenticación que puede ser robado «.

Añadió: «El archivo de manifiesto admite un campo opcional para una URL externa desde la que se puede recuperar el contenido y puede ser cualquier registro o dominio».

Los atacantes pueden aprovechar el problema creando una imagen maliciosa en un registro remoto y luego convenciendo al usuario de que acceda a ella a través de un contenedor (esto se puede hacer a través del correo electrónico y otras vías de ingeniería social), según el Resumen de la base de datos nacional de vulnerabilidad.

«Si un atacante publica una imagen pública con un manifiesto que indica que una de las capas se recupere de un servidor web que supervisa y engaña a un usuario o sistema para extraer la imagen, puede obtener las credenciales utilizadas para extraer esa imagen, «Según el aviso de error. “En algunos casos, este podría ser el nombre de usuario y la contraseña del usuario del registro. En otros casos, pueden ser las credenciales asociadas con la instancia virtual en la nube las que pueden otorgar acceso a otros recursos de la nube en la cuenta «.

El investigador de Darkbit Brad Geesaman, que realizó una investigación original sobre la vulnerabilidad (que él llama «ContainerDrip»), ha elaborado una vulnerabilidad de prueba de concepto (PoC) para un vector de ataque relacionado.

Una de las barreras a la explotación es el hecho de que los clientes en contenedores que extraen imágenes pueden configurarse para autenticarse en un registro remoto a fin de recuperar imágenes privadas, lo que evitaría el acceso a contenido malicioso. En cambio, un atacante tendría que poner la imagen contaminada en un registro remoto donde el usuario ya se autentica.

“La pregunta fue: ‘¿Cómo puedo hacer para que me envíen sus credenciales? [for remote-registry authentication]? ‘»Él dijo una cirugía a principios de este mes. «Aparentemente, todo lo que tienes que hacer es hacer la pregunta correcta».

Google Kubernetes Engine (GKE) es un entorno administrado para ejecutar aplicaciones en contenedores, que se pueden integrar con containerd. Cuando a los clústeres de GKE que ejecutan COS_CONTAINERD y GKE 1.16 o una versión anterior se les asigna una implementación para ejecutar, aparece un encabezado de autenticación básica, que cuando se descifra base64, resulta ser el token de autenticación para el motor de Google Compute Engine subyacente, que se usa para crear maquinas virtuales. Este token está vinculado al clúster / grupo de nodos de GKE.

«De forma predeterminada en GKE, el [Google Cloud Platform] la cuenta de servicio vinculada al grupo de nodos es la cuenta de servicio de procesamiento predeterminada y se le otorga el Editor de proyectos ”, explicó Geesaman.

Dicho esto, incluso de forma predeterminada, una función llamada GKE OAuth Scopes «limita» los permisos disponibles de ese token. Geesaman también encontró una solución alternativa para esto.

«Si la configuración predeterminada se cambió durante la creación del clúster para garantizar la [“any”] con el alcance del grupo de nodos, este token no tendría limitaciones de alcance de OAuth y otorgaría el conjunto completo de permisos de IAM del editor de proyectos en ese proyecto de GCP «, explicó.

Y a partir de ahí, los atacantes pueden aumentar los privilegios del «propietario del proyecto» utilizando un vector de ataque conocido. demostró un DEF CON 2020.

Añadió que la ruta de GKE es una de las muchas posibles.

contenedord parcheado el error, indicado como nivel de gravedad medio, en la versión 1.2.4; containerd 1.3.x no es vulnerable.

La seguridad en la nube sigue siendo un desafío para las organizaciones. A principios de octubre, los investigadores revelaron dos fallas en el servicio de aplicaciones de alojamiento web Azure de Microsoft, App Services, que si se explotan podrían permitir a un atacante tomar el control de los servidores administrativos. Durante el verano, se descubrió que un malware como la puerta trasera Doki infestaba los contenedores de Docker.

En abril, se utilizó un simple honeypot de contenedor Docker en una prueba de laboratorio para ver qué tan rápido se moverán los ciberdelincuentes para comprometer la infraestructura de nube vulnerable. Fue rápidamente atacado por cuatro campañas criminales diferentes en un lapso de 24 horas.

.

Recuerda compartir en una historia de tu Instagram para que tus amigos lo flipen

??? ? ? ???

Comparte