Kubernetes touché par une faille critique pouvant provoquer une escalade de privilège,
des correctifs sont disponibles pour le système d'orchestration de containers

Les containers sont une méthode de virtualisation de système d’exploitation permettant de lancer une application et ses dépendances à travers un ensemble de processus isolés du reste du système. Cette méthode permet d’assurer le déploiement rapide et stable des applications dans n’importe quel environnement informatique.

En plein essor depuis plusieurs années, les containers ont modifié la façon dont nous développons, déployons et maintenons des logiciels. De par leur légèreté et leur flexibilité, ils ont permis l’apparition de nouvelles formes d’architectures d’application, consistant à constituer des applications au sein de containers séparés pour ensuite déployer ces containers sur un cluster de machines virtuelles ou physiques. Toutefois, cette nouvelle approche a créé le besoin de nouveaux outils « d’orchestration de containers » pour automatiser le déploiement, le management, le networking, le scaling et la disponibilité des applications basées sur container.

Intervient alors Kubernetes

Kubernetes est un projet Open Source créé par Google en 2015. Il permet d’automatiser le déploiement et la gestion d’applications multi-container à l’échelle. Il s’agit d’un système permettant d’exécuter et de coordonner des applications containerisées sur un cluster de machines. C’est une plateforme conçue pour gérer entièrement le cycle de vie des applications et services containerisés en utilisant des méthodes de prédictibilité, de scalabilité et de haute disponibilité.

Nom : kub-logo.png Affichages : 3372 Taille : 17,0 Ko

Principalement compatible avec Docker, Kubernetes peut fonctionner avec n’importe quel système de container conforme au standard Open Container Initiative en termes de formats d’images et d’environnements d’exécution. De par son caractère open source, Kubernetes peut aussi être utilisé librement par n’importe qui, n’importe où.

Un système qui n’est pas infaillible

Kubernetes est devenu l’un des systèmes d'orchestration de conteneurs dans le cloud les plus populaires. Ce n'était donc qu'une question de temps avant que sa première faille de sécurité majeure soit découverte. Identifié par CVE-2018-1002105, le bogue a été noté 9,8 / 10 sur l’échelle de sévérité CVSS étant donné qu’une attaque peut être exécutée à distance, n’a pas besoin d’être complexe et aucune interaction de l'utilisateur ou privilège spécial n'est requis. Comme l’explique Jordan Liggitt, un ingénieur Google, ce bogue permet une escalade de privilège dans Kubernetes.

Selon les conclusions de ses tests, avec « une requête spécialement conçue, des utilisateurs autorisés à établir une connexion à un serveur principal via l'API Kubernetes peuvent ensuite envoyer des requêtes arbitraires », tout en restant identifiés.

« Il n'y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée, étant donné que les demandes non autorisées sont effectuées via une connexion authentifiée, elles n'apparaissent pas dans les journaux », ajoute-t-il.

Nom : kubernetes.png Affichages : 2542 Taille : 51,3 Ko

Parlant des impacts de la vulnérabilité, il indique que « Dans les configurations par défaut, tous les utilisateurs (authentifiés et non authentifiés) sont autorisés à effectuer des appels API de découverte qui permettent cette escalade ».

Jordan Liggitt a déclaré que les versions v1.10.11, v1.11.5 et v1.12.3 de Kubernetes ont été mises à disposition pour corriger ce bogue. Les administrateurs sont donc invités à l’installer.

Le bogue a été repéré par Darren Shepherd, architecte en chef et cofondateur de Rancher Labs.

Le petit mot de Red Hat OpenShift

Red Hat OpenShift, une plateforme de conteneur orientée entreprise, a introduit des correctifs pour toutes les variantes de produit. Ashesh Badani, responsable d'OpenShift chez Red Hat, a déclaré :

Citation Envoyé par Ashesh Badani
Aujourd'hui, nous avons publié un avis de sécurité et des correctifs critiques pour CVE-2018-1002105, une faille d'élévation de privilèges affectant Kubernetes. La faille d'élévation de privilèges de Kubernetes fournit un exemple de la manière dont Red Hat contribue à la sécurité logicielle au niveau de la communauté et de l'entreprise, en particulier lorsque des entreprises du monde entier cherchent à utiliser des technologies émergentes telles que Kubernetes pour contribuer à la transformation numérique. Standard de facto dans l'orchestration de conteneurs Linux, Kubernetes permet d'orchestrer des applications conteneurisées ensemble, permettant ainsi des services composites comprenant des centaines, voire des milliers, de services « plus simples ». Ces applications orchestrées sont souvent plus faciles à gérer, plus agiles et plus simples à gérer que les applications traditionnelles.

Mais Kubernetes, comme tous les logiciels, n’est pas à l’abri des problèmes de sécurité - la faille d’élévation des privilèges permet à tout utilisateur d’obtenir les privilèges d’administrateur complets sur tout nœud de calcul exécuté dans un cluster Kubernetes. Ceci est une grosse affaire. Cet acteur peut non seulement voler des données sensibles ou injecter du code malveillant, mais également arrêter les applications et les services de production dans le pare-feu d’une entreprise.

Il est important de noter que tous les services et produits basés sur Kubernetes, notamment Red Hat OpenShift Container Platform, Red Hat OpenShift Online et Red Hat OpenShift Dedicated, sont concernés. Red Hat a commencé à fournir des correctifs et à envoyer des mises à jour de service aux utilisateurs concernés, ce qui leur permet de remédier à cette vulnérabilité soit immédiatement, soit à la meilleure occasion en fonction de leur profil de risque.
Sources : billet Jordan, Red Hat.

Voir aussi :

Google cède le contrôle opérationnel de Kubernetes à la communauté, qui devra désormais supporter les coûts d'infrastructure cloud du projet
Microsoft lance la première préversion de Visual Studio Kubernetes Tools, pour simplifier l'expérience Kubernetes pour les développeurs Visual Studio
Docker 2.0 EE, la plateforme de pilotage d'architectures en containers, bénéficie de la technologie Kubernetes, qui vient aux côtés de Swarm
Le système de gestion des applications conteneurisées Kubernetes passe en version 1.10 et s'accompagne de fonctionnalités de stockage (en bêta)
Windows Server 2019 disponible en préversion avec un meilleur support de Linux et Kubernetes et des améliorations de sécurité