Google Cloud 解决 Kubernetes 集群中的安全漏洞

Google Cloud 已对其平台中可能对 Kubernetes 集群构成风险的中等严重安全漏洞做出了迅速响应。该漏洞由Palo Alto Networks Unit 42发现并报告，有可能被已经有权访问 Kubernetes 集群的攻击者利用，特别是针对Fluent Bit日志记录容器。

如果滥用此缺陷，攻击者可能会在集群内升级其权限，从而导致潜在威胁，例如数据盗窃、部署恶意 Pod和中断集群运行。Google Cloud 已在最新版本的 Google Kubernetes Engine (GKE) 和 Anthos Service Mesh (ASM) 中解决了该问题，消除了与此漏洞相关的风险。

有权访问受损 Fluent Bit 日志记录容器的攻击者可能会在集群中获得升级的权限

Google Cloud在 2023 年 12 月 14 日发布的公告中披露了该安全漏洞，并提供了潜在利用场景的详细信息。根据该通报，入侵 Fluent Bit 日志记录容器的攻击者可以利用此访问权限以及 Anthos Service Mesh(在已启用的集群上)所需的高权限来提升其在 Kubernetes 集群中的权限。

这可能会为各种不良活动打开大门，其中不仅包括数据盗窃，还包括对集群正常运行的干扰。目前没有证据表明不良行为者在野外滥用该缺陷。不过，除了向 Workspace 用户提供更多云存储之外，Google Cloud 还采取了主动措施来纠正受影响版本的 Google Kubernetes Engine 和 Anthos Service Mesh 中的问题。

GKE 版本为 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000、1.28.4-gke.1083000，以及 1.17.8-asm.8、1.18.6-asm .2、1.19.5-asm.4为ASM解决了安全漏洞。

Google Cloud 已删除 Fluent Bit 对服务帐户令牌的访问权限，并消除了 RBAC，解决了安全漏洞

Google Cloud 解释说，开发人员已在 GKE 上配置 Fluent Bit 来收集 Cloud Run 工作负载的日志。据 TheHackerNews 报道，这种安排授予 Fluent Bit 访问节点上其他 Pod 的 Kubernetes 服务帐户令牌的权限。它为攻击者提供了潜在的切入点。

为了解决该安全漏洞，Google Cloud 删除了 Fluent Bit 对服务帐户令牌的访问权限，并重新架构了 Anthos Service Mesh 的实用程序，以消除过多的基于角色的访问控制 (RBAC) 权限。该修复旨在通过排除潜在的权限升级场景来增强 Google Cloud 上 Kubernetes 集群的整体安全状况。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！