Azure Kubernetes Kümelerinde TLS Başlatma Saldırısı

19.08.2024

Siber güvenlik araştırmacıları, Microsoft Azure Kubernetes Services (AKS) üzerinde saldırganların ayrıcalıklarını yükseltip bir küme içindeki hassas kimlik bilgilerine erişmesini sağlayabilecek kritik bir güvenlik açığını ortaya çıkardı. Saldırgan, etkilenen bir AKS kümesindeki bir Pod içinde komut yürütmeyi başardığında, küme düğümünü sağlamak için kullanılan yapılandırmayı indirebilir, Taşıma Katmanı Güvenliği (TLS) başlatma belirteçlerini (bootstrap tokens) çıkarabilir ve bir TLS başlatma saldırısı başlatabilir. Bu, saldırganın kümede depolanan tüm sırlara erişmesini sağlayarak önemli bir güvenlik riski oluşturur.

Bu güvenlik açığı, "Azure CNI" ağ yapılandırması ve "Azure" ağ politikası ile yapılandırılan kümeleri özellikle etkiler. Güvenlik açığını bildiren Google'a ait Mandiant, saldırının, Azure WireServer adlı az bilinen bir bileşene erişmeye dayandığını açıkladı. Bu şekilde saldırgan, "wireserver.key" olarak bilinen korunan ayarları şifrelemek için kullanılan bir anahtarı isteyebilir. Bu anahtar daha sonra, KUBELET_CLIENT_CONTENT, KUBELET_CLIENT_CERT_CONTENT, KUBELET_CA_CRT ve TLS_BOOTSTRAP_TOKEN gibi birkaç önemli sırrı içeren bir sağlama betiğini çözmek için kullanılabilir.

Bu sırlar Base64 ile kodu çözülüp diske yazılabilir ve saldırganın Kubernetes komut satırı aracı olan kubectl ile kümeye kimlik doğrulaması yapmasına olanak tanır. Bu işlemde kullanılan hesap, yakın zamanda dağıtılmış AKS kümelerinde sınırlı izinlere sahip olmasına rağmen, yine de kümedeki tüm düğümleri listeleyebilir. Daha endişe verici olan ise, TLS_BOOTSTRAP_TOKEN'ın kullanılarak bir TLS başlatma saldırısının gerçekleştirilebilmesi ve nihayetinde saldırganın, çalıştırılan iş yükleri tarafından kullanılan tüm sırlara erişim sağlamasıdır.

Mandiant, saldırının Pod'un root olarak çalışmasını gerektirmediğini, bu durumun saldırının potansiyel kapsamını genişlettiğini vurguladı. Bu tür saldırıları tamamen önlemek için sadece gerekli hizmetlere erişime izin veren kısıtlayıcı Ağ Politikaları oluşturma sürecinin benimsenmesi gerektiğini önerdi. Belgelendirilmemiş hizmetlerin erişilemez hale getirilmesi, ayrıcalık yükseltme risklerini hafifletmek için kilit öneme sahiptir.

Bu açıklama, Kubernetes güvenlik platformu ARMO tarafından vurgulanan, ingress-nginx denetleyicisini etkileyen başka bir yüksek ciddiyetli Kubernetes güvenlik açığı (CVE-2024-7646) keşfiyle aynı dönemde geldi. Bu güvenlik açığı, kötü niyetli bir kişinin hassas küme kaynaklarına yetkisiz erişim sağlamasına olanak tanıyabilir. Sorun, Ingress nesneleri üzerindeki açıklamaların doğru şekilde doğrulanmamasından kaynaklanıyor ve bu durum, zararlı içerik enjekte edilerek komut enjeksiyonuna ve ingress-nginx denetleyicisinin kimlik bilgilerine erişime yol açabilir.

Ayrıca, Kubernetes git-sync projesinde, Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) ve Linode gibi birçok platformu etkileyen bir tasarım hatası da ortaya çıktı. Bu hata, giriş sanitizasyonunun eksikliğinden yararlanılarak komut enjeksiyonu veya veri sızdırılmasına olanak tanıyor ve bu tür güvenlik açıklarına karşı güçlü savunmaların önemini vurguluyor. Kuruluşların, güvenli yapılandırmaları sağlamak ve şüpheli etkinlikleri izlemek için git-sync podlarını denetlemeleri tavsiye edilmektedir.