Google Cloud បានបង្ហាញពីកំហុសផ្នែកសុវត្ថិភាពធ្ងន់ធ្ងរមធ្យមនៅក្នុង Platform របស់ខ្លួនថា អាចត្រូវបានកេងចំណេញពីជនខិលខូចដែលបានចូលប្រើ Kubernetes cluster សម្រាប់បង្កើនសិទ្ធិចូលប្រើ។ក្រុមហ៊ុនបានថ្លែងថា ហេគឃ័រដែលបានធ្វើការសម្របសម្រួលក្នុងការគ្រប់គ្រង Fluent Bit logging Container អាចភ្ជាប់ដំណើរការជាមួយនឹងសិទ្ធិច្រើន ដែលតម្រូវដោយ Anthos Service Mesh (នៅលើ Clusters ដែលបានបើកវា (Enabled)) ក្នុងការបង្កើនសិទ្ធិនៅក្នុង Cluster។
ក្រុមការងារ Palo Alto Networks Unit 42 បានរកឃើញ និងរាយការណ៍ថា ហេគឃ័រអាចប្រើបញ្ហានេះជាអាវុធដើម្បីលួចទិន្នន័យ ដាក់ពង្រាយ Pods ក្លែងក្លាយ និងរំខានដល់ដំណើរការរបស់ Clusters។ ពុំមានភស្តុតាងណាបង្ហាញថាបញ្ហាត្រូវបានកេងចំណេញនៅឡើយទេ។ ដើម្បីអាចកេងចំណេញលើភាពងាយរងគ្រោះ ហេគឃ័រត្រូវធ្វើការសម្របសម្រួលនូវ Fluent Bit container ដោយវិធីសាស្រ្តចាប់ផ្តើមដំណើរការមួយចំនួនដូចជាតាមរយៈការប្រើកំហុសប្រតិបត្តិការកូដពីចម្ងាយ (Remote Code Execution Flaw)។
ក្រុមហ៊ុន Google បានលម្អិតថា GKE ប្រើ Fluent Bit ដើម្បីដំណើរការ (Process) Logs សម្រាប់ Workloads Running នៅលើ Clusters។ Fluent Bit នៅលើ GKE ក៏ត្រូវបានគណនាដើម្បីប្រមូល Logs សម្រាប់ Cloud Run Workloads។ Volume Mount គណនាប្រមូល Logs ទាំងនោះឱ្យទៅ Fluent Bit ដំណើរការគណនី Kubernetes Service Account ដែលទទួលបានសម្រាប់ Pods ផ្សេងទៀតសម្រាប់ដំណើរការនៅលើ Node។ មធ្យោបាយដែលហេគឃ័រប្រើសម្រាប់បង្កើនសិទ្ធិចូលដំណើរការ Kubernetes Cluster មានដូចជា ASM Enabled និងបន្ទាប់មកប្រើសេវាគណនីដែលទទួលបានពី Service Account Token របស់ ASM ដើម្បីបង្កើនសិទ្ធិរបស់ពួកគេដោយការបង្កើត Pod ថ្មីជាមួយនឹង Cluster-Admin Privileges។ The Clusterrole-Aggregation-Controller (CRAC) Service Account កំពុងតែឈានមុខគេ ដោយសារតែវាអាចបន្ថែមនូវការអនុញ្ញាតតាមចិត្តទៅលើតួនាទីរបស់ Existing Cluster។ ហេគឃ័រអាចធ្វើបច្ចុប្បន្នភាព Cluster Role Bound ដែលភ្ជាប់ទៅកាន់ CRAC ដើម្បីទទួលបានសិទ្ធិទាំងស្រុង។
ដើម្បីដោះស្រាយបញ្ហា ក្រុមហ៊ុន Google បានលុបដំណើរការរបស់ Fluent Bit ចេញពី Service Account Token និងរចនាឡើងវិញនូវមុខងាររបស់ ASM ដោយលុបសិទ្ធិការគ្រប់គ្រងចូលប្រើ Role-based (RBAC) ច្រើនហួស។ Ben Hai បានសន្និដ្ឋានថា អ្នកផ្គត់ផ្គង់សេវាក្លោដបានបង្កើត System pods ដោយស្វ័យប្រវត្តិនៅពេល Cluster របស់អ្នកចាប់ដំណើរការ (Launched)។ មុខងារទាំងនោះត្រូវបានបង្កើតឡើងនៅក្នុង Kubernetes infrastructure ដូចគ្នាទៅនឹង add-on pods ដែលត្រូវបានបង្កើតនៅពេលអ្នកបើកដំណើរការ (Enable) មុខងារ។ នេះដោយសារតែក្លោដ ឬកម្មវិធីរបស់អ្នកផ្គត់ផ្គង់បង្កើត និងគ្រប់គ្រងលើ Pods និងអ្នកប្រើប្រាស់មិនបានមើលលើ (Control Over) ការគណនា ឬសិទ្ធិអនុញ្ញាតរបស់ពួកគេ។ រឿងនេះក៏អាចមានគ្រោះថ្នាក់តាំងពីពេលដែល Pods ទាំងនោះដំណើរការ (run) ជាមួយនឹងការបង្កើនសិទ្ធិ៕
https://thehackernews.com/2023/12/google-cloud-resolves-privilege.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៨ ខែធ្នូ ឆ្នាំ២០២៣
