GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。 最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。” 除了 Kubernetes 漏洞，GitLab 还修补了其他几个漏洞，包括 设备 OAuth 流量漏洞 (CVE-2024-7404)： 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。 拒绝服务 (DoS) 漏洞： 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。 存储 XSS 漏洞 (CVE-2024-8648)： 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。 HTML 注入漏洞 (CVE-2024-8180)： 如果未启用内容安全策略 (CSP)，不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。 信息披露漏洞 (CVE-2024-10240)： 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。 GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。 “我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301813 封面来源于网络，如有侵权请联系删除

有消息称：谷歌刚刚修复了一个影响重要云服务的漏洞。此前研究人员发现，多家组织（包括一家上市公司）的系统容易受到该漏洞影响。 该问题影响了谷歌Kubernetes引擎（GKE），这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务，广泛用于医疗保健、教育、零售和金融服务，以及数据处理和人工智能与机器学习操作。 云安全厂商Orca Security的研究人员解释说，他们在GKE中发现了一个问题，“可以让攻击者使用任何有效的谷歌帐号，接管配置错误的Kubernetes集群，这可能导致严重的安全事件，如加密挖矿、拒绝服务和敏感数据窃取。” 该问题主要与权限有关，GKE允许用户使用任何有效的谷歌帐户访问系统。 Orca Security表示，“当管理员决定将某个组绑定到权限过大的角色时，会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。 Orca Security表示，经过扫描发现超过1300个集群可能遭到暴露，其中有100多个集群暴露程度极高，可以被广泛访问。 图：攻击者可借此获得大量敏感信息 他们指出，“Kubernetes将其托管的容器化应用程序，与各种不同类型的关键数据资产连接在一起，如数据库、代码存储库和其他第三方供应商，这使得它成为恶意行为者手中的毁灭性工具。” 容器化，是指开发人员将应用程序的代码与运行在任何计算基础设施上所需的一切（如文件和库）捆绑在一起，从而灵活地构建和部署软件。 客户资产大门洞开 Orca Security表示，至少有一个受影响的集群属于一家纳斯达克上市公司，暴露信息给黑客提供了访问AWS网络服务凭证的权限，得以更深入地访问该公司的系统和数据。研究人员说，恶意行为者“有可能访问这些系统，提取或操纵敏感数据，干扰服务，甚至更进一步进入网络。” Orca Security表示，他们向该公司报告了这个问题，并与之合作解决了这些漏洞，其中包括收紧权限、保护暴露的云储存桶等。 研究人员同时向其他多家易受漏洞影响的企业报告了这个问题，并指出，所有组织“应该始终在身份和访问领域追求细粒度，避免给不需要的实体赋予过多的访问权限。” Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性，并“积极采取预防措施、发布客户通知，还将继续采取行动确保客户安全。” 一位谷歌发言人表示，他们与Orca Security合作解决该漏洞。发言人指出，谷歌还在上周发布了一份安全公告，“针对有限数量的受影响GKE用户，详细说明了他们应采取的步骤，以保护自己免受任何意外授权的伤害。” 谷歌还向一些客户直接发送了这份公告。 谷歌在1月19日发布的建议中说道，“我们已经确定了几个群集，用户已经授予Kubernetes权限给system:authenticated组，其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定，因为它们违反了最小权限原则，向过多用户群体授予了访问权限。” Orca Security指出，谷歌认为这是“可以预期的问题”，因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。 研究人员认同谷歌的评估，即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/0LZlgqK5QU2zbzfurvdVbA 封面来源于网络，如有侵权请联系删除

Aqua 研究团队在一篇研究论文中表示，他们在公共存储库中发现了 Kubernetes 机密，这些机密允许访问软件开发生命周期 (SDLC) 中的敏感环境，并引发严重的供应链攻击威胁。 研究团队警告称，涉及的公司包括SAP的Artifacts管理系统，拥有超过9500万个工件，还有两家顶级区块链公司和其他一些财富500强公司。这些编码的Kubernetes配置机密被上传到了公共代码库中。 Kubernetes机密对于在开源容器编排环境中管理敏感数据至关重要。然而，这些机密通常以未加密的形式存储在API服务器的底层数据存储中，使其容易受到攻击。 Aqua团队表示，他们专注于两种类型的Kubernetes机密，即dockercfg和dockerconfigjson，这些机密存储了访问外部注册表的凭证，并使用GitHub的API来识别意外上传到公共代码库中的Kubernetes机密实例。目前，他们发现了数百个公共代码库中的实例，影响范围涉及个人、开源项目和大型组织。 Aqua研究团队使用GitHub的API进行搜索，以检索包含.dockerconfigjson和.dockercfg的所有条目。初始查询结果超过8000个，在进一步的细化搜索——仅包括那些包含以base64编码的用户名和密码值的记录后，找到了438个可能包含有效凭证的记录。其中203个记录包含了提供对相应注册表访问权限的有效凭证。在大多数情况下，这些凭证允许拉取和推送权限。 此外，Aqua团队发现在这些注册表中经常存在私有容器映像。并通知了相关组织有关暴露的机密和他们应采取的措施。 Aqua团队表示，他们发现许多从业者有时会忽略从他们提交到GitHub公共代码库的文件中删除机密，从而暴露敏感信息。“这些机密只需要一个base64解码命令就可以以明文形式显示出来，”研究人员警告称。 在涉及暴露9500万个工件的Artifacts仓库中，Aqua表示，此Artifacts仓库密钥的暴露代表了重大的安全风险。由此访问可能带来的潜在威胁包括专有代码泄露、数据泄露和供应链攻击的风险，所有这些都可能损害组织的完整性和客户的安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/384761.html 封面来源于网络，如有侵权请联系删除

不久前，研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞，这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。 这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，CVSS 评分为 8.8，影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后，这些漏洞的修复程序于 2023 年 8 月 23 日发布。 Akamai 安全研究员 Tomer Peled表示：该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。要利用这个漏洞，攻击者需要在集群上应用恶意YAML文件。 亚马逊网络服务（AWS）、谷歌云（Google Cloud）和微软Azure都发布了针对这些漏洞的公告，这些漏洞影响到以下版本的Kubelet kubelet < v1.28.1 kubelet < v1.27.5 kubelet < v1.26.8 kubelet < v1.25.13，以及 kubelet < v1.24.17 简而言之，CVE-2023-3676 允许拥有 “应用 “权限（可与 Kubernetes API 交互）的攻击者注入任意代码，这些代码将在具有 SYSTEM 权限的远程 Windows 机器上执行。 Peled 还指出，CVE-2023-3676要求的权限很低，因此为攻击者设置的门槛也很低。他们需要的只是访问节点和应用权限。 该漏洞与 CVE-2023-3955 一样，都是由于缺乏输入清理而导致的，从而使特制的路径字符串被解析为 PowerShell 命令的参数，从而有效地执行命令。 另一方面，CVE-2023-3893 与容器存储接口（CSI）代理中的权限升级案例有关，它允许恶意行为者获得节点上的管理员访问权限。 具体来说，在处理 Pod 定义时，软件未能充分验证或清理用户输入。这一疏忽使得恶意用户能够制作带有环境变量和主机路径的 pod，这些环境变量和主机路径在处理时会导致权限升级等后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/378035.html 封面来源于网络，如有侵权请联系删除

Kubernetes 是一个开源容器编排系统，用于自动化软件部署、扩展和管理。Shadowserver 基金会开始扫描可访问的 Kubernetes API 实例，这些实例以 200 OK HTTP 响应对探测器进行响应。 “在我们能够识别的超过45万个API中，我们每天发现超过38万个允许某种形式的访问的 Kubernetes API。这些数据每天都会在我们的可访问Kubernetes API 服务器报告中共享。”， 扫描结果并不意味着这些服务器完全开放或容易受到攻击，它表明服务器具有“不必要地暴露攻击面”的情况。 它们扫描端口6443和443上的所有IPv4空间，并且仅包括响应200 OK（附带 JSON 响应）的Kubernetes服务器，因此在其响应中披露版本信息。2022-05-16的扫描结果发现 381,645 个唯一IP响应了探测的 200 OK HTTP 响应。 “这是我们看到的 454,729 个 Kubernetes API 实例中的一个。因此，“开放”API 实例构成了我们可以在 IPv4 互联网上扫描的所有实例的近 84%。” 数据安全公司 Comforte AG 的网络安全专家 Erfan Shadabi 表示，Shadowserver基金会扫描发现如此多的 Kubernetes 服务器暴露在公共互联网上，他并不感到惊讶。“White Kubernetes] 为企业提供了敏捷应用交付的巨大好处，有一些特点使其成为理想的攻击目标。例如，由于拥有许多容器，Kubernetes 有一个很大的攻击面，如果不预先保护，可能会被利用，”他说。 保护 Kubernetes Shadowserver基金会建议，如果管理员发现他们环境中的 Kubernetes 实例可以访问互联网，他们应该考虑实施“访问授权”，或者在防火墙级别进行阻止以减少暴露的攻击面。 Erfan Shadabi建议在其生产环境中使用容器和 Kubernetes 的组织应像对待 IT 基础设施的各个方面一样认真对待 Kubernetes。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/WVM4giXIQmz4PxhSQlHTIQ 封面来源于网络，如有侵权请联系删除