【网络安全|信息泄露】谷歌容器云曝“严重风险”：上千 Kubernetes 集群可能暴露，涉某上市公司

有消息称：谷歌刚刚修复了一个影响重要云服务的漏洞。

此前研究人员发现，多家组织（包括一家上市公司）的系统容易受到该漏洞影响。

该问题影响了谷歌Kubernetes引擎（GKE），这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务，广泛用于医疗保健、教育、零售和金融服务，以及数据处理和人工智能与机器学习操作。

云安全厂商Orca Security的研究人员解释说，他们在GKE中发现了一个问题，“可以让攻击者使用任何有效的谷歌帐号，接管配置错误的Kubernetes集群，这可能导致严重的安全事件，如加密挖矿、拒绝服务和敏感数据窃取。”

该问题主要与权限有关，GKE允许用户使用任何有效的谷歌帐户访问系统。

Orca Security表示，“当管理员决定将某个组绑定到权限过大的角色时，会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。

客户资产大门洞开

Orca Security表示，至少有一个受影响的集群属于一家纳斯达克上市公司，暴露信息给黑客提供了访问AWS网络服务凭证的权限，得以更深入地访问该公司的系统和数据。研究人员说，恶意行为者“有可能访问这些系统，提取或操纵敏感数据，干扰服务，甚至更进一步进入网络。”

Orca Security表示，他们向该公司报告了这个问题，并与之合作解决了这些漏洞，其中包括收紧权限、保护暴露的云储存桶等。

研究人员同时向其他多家易受漏洞影响的企业报告了这个问题，并指出，所有组织“应该始终在身份和访问领域追求细粒度，避免给不需要的实体赋予过多的访问权限。”

Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性，并“积极采取预防措施、发布客户通知，还将继续采取行动确保客户安全。”

一位谷歌发言人表示，他们与Orca Security合作解决该漏洞。

发言人指出，谷歌还在上周发布了一份安全公告，“针对有限数量的受影响GKE用户，详细说明了他们应采取的步骤，以保护自己免受任何意外授权的伤害。”

谷歌还向一些客户直接发送了这份公告。

谷歌在1月19日发布的建议中说道，“我们已经确定了几个群集，用户已经授予Kubernetes权限给system:authenticated组，其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定，因为它们违反了最小权限原则，向过多用户群体授予了访问权限。”

Orca Security指出，谷歌认为这是“可以预期的问题”，因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。

研究人员认同谷歌的评估，即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”

前面提的这些技术我都整理录制成了视频教程，如果你也想学习，可以看一下

学完可以达到黑客高手的水平，想打CTF比赛或者挖漏洞都没有问题，关键是你能否坚持学完它。做人要有梦想，不然和咸鱼有什么区别，下一个加入蓝莲花战队的就是你。