Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Forscher decken TLS-Bootstrap-Angriff auf Azure-Kubernetes-Cluster auf

Cybersecurity-Experten haben eine Sicherheitslücke in Microsoft Azure Kubernetes Services entdeckt. Wird sie erfolgreich ausgenutzt, könnte ein Angreifer seine Privilegien erheblich ausweiten und ungehinderten Zugriff auf Anmeldeinformationen für alle möglichen Clusterdienste erlangen. Die Schwachstelle stellt ein erhebliches Risiko für die gesamte Infrastruktur dar.

Lesezeit 3 Min.

Ein Angreifer, der in einem Pod eines betroffenen Azure Kubernetes Services (AKS) Clusters Befehle ausführen kann, könnte die Konfigurationsdaten des Cluster-Knotens herunterladen. Diese Daten enthalten unter anderem die TLS-Bootstrap-Token (Transport Layer Security), die er nutzen könnte, um einen Angriff durchzuführen und alle geheimen Informationen im Cluster auszulesen. Das hat die Google-Tochter Mandiant herausgefunden.

Betroffen von dieser Schwachstelle sind Cluster, die „Azure CNI“ für die Netzwerkkonfiguration und „Azure“ für Netzwerkrichtlinien verwenden. Microsoft hat das Problem inzwischen behoben.

Der TLS-Boot­strap-An­griff

Die von Mandiant analysierte Angriffstechnik basiert darauf, auf eine wenig bekannte Komponente namens Azure WireServer zuzugreifen. Damit können Angreifer einen Schlüssel anfordern, der normalerweise verwendet wird, um geschützte Einstellungen zu verschlüsseln („wireserver.key“). Dieser Schlüssel kann dann genutzt werden, um ein Bereitstellungsskript zu entschlüsseln, das mehrere Geheimnisse enthält, wie zum Beispiel:

  • KUBELET_CLIENT_CONTENT (Generischer Node-TLS-Schlüssel)
  • KUBELET_CLIENT_CERT_CONTENT (Generisches Node-TLS-Zertifikat)
  • KUBELET_CA_CRT (Kubernetes-CA-Zertifikat)
  • TLS_BOOTSTRAP_TOKEN (TLS-Bootstrap-Authentifizierungstoken)

Die Forscher Nick McClendon, Daniel McNamara und Jacob Paullus erklären: „Die Daten KUBELET_CLIENT_CONTENT, KUBELET_CLIENT_CERT_CONTENT und KUBELET_CA_CRT können Base64-dekodiert und auf die Festplatte gespeichert werden, um sich dann mit dem Kubernetes-Befehlszeilentool kubectl am Cluster anzumelden. In neueren Azure Kubernetes Service (AKS) Clustern hat dieses Konto zwar nur eingeschränkte Rechte, kann aber trotzdem die Knoten im Cluster anzeigen.“

Das TLS_BOOTSTRAP_TOKEN kann jedoch genutzt werden, um einen TLS Bootstrap-Angriff durchzuführen und Zugriff auf alle geheimen Daten im Cluster zu bekommen, ohne dass der Pod als Root laufen muss. „Um solche Angriffe zu verhindern, sollten NetworkPolicies erstellt werden, die den Zugriff nur auf notwendige Dienste erlauben. So kann man verhindern, dass Angreifer auf unsichere Dienste zugreifen und ihre Rechte erweitern“, so Mandiant.

Wei­te­re Schwach­stel­len in Ku­ber­ne­tes-Um­ge­bun­gen

Die Enthüllung kommt zu einem Zeitpunkt, an dem die Kubernetes-Sicherheitsplattform ARMO auf eine neue, schwerwiegende Sicherheitslücke (CVE-2024-7646, CVSS-Score: 8.8) hingewiesen hat. Diese betrifft den ingress-nginx-Controller und könnte es einem Angreifer ermöglichen, unbefugten Zugriff auf sensible Daten im Cluster zu bekommen.

Sicherheitsexperte Amit Schendel erklärt, dass die Schwachstelle durch einen Fehler bei der Überprüfung von Anmerkungen auf Ingress-Objekten entsteht.

Die Schwachstelle erlaubt es Angreifern, schädlichen Code in bestimmte Anmerkungen einzufügen, was die vorgesehenen Sicherheitsprüfungen umgeht. Dadurch könnten sie beliebige Befehle ausführen und Zugang zu den Anmeldeinformationen des ingress-nginx-Controllers erhalten, der in Standardkonfigurationen Zugriff auf alle geheimen Daten im Cluster hat.

Die Entdeckung folgt auch auf die Identifizierung eines Designfehlers im Kubernetes-Projekt git-sync, der eine Befehlsinjektion über Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) und Linode ermöglichen könnte.

„Dieser Designfehler kann dazu führen, dass Daten aus dem Pod abgegriffen werden, einschließlich Service-Account-Tokens, oder dass Befehle mit den Rechten des git_sync-Benutzers ausgeführt werden,“ so der Akamai-Experte Tomer Peled. „Um die Schwachstelle auszunutzen, muss ein Angreifer einfach eine YAML-Datei auf den Cluster anwenden, eine Operation, für die nur minimale Rechte erforderlich sind.“

Da es keine geplanten Patches für diese Schwachstelle gibt, ist es sehr wichtig, dass Organisationen ihre git-sync-Pods genau überprüfen. Sie müssen herausfinden, welche Befehle dort ausgeführt werden. „Die beiden Angriffswege entstehen, weil die Eingaben nicht ausreichend überprüft werden. Das zeigt, wie wichtig eine gründliche Prüfung der Benutzereingaben ist,“ so Peled weiter. „Sicherheitsteams sollten in ihren Organisationen besonders auf ungewöhnliches Verhalten des git-sync-Benutzers achten.“

Diesen Beitrag teilen: