趋势科技在一份网络安全研究报告中指出,亚马逊流行的 Elastic Kubernetes 服务 (EKS) 中发现的新严重安全漏洞可能会暴露敏感的AWS凭证并允许权限提升,从而导致“恶意活动”。
趋势科技在通过趋势科技零日计划发布的新报告中表示:“Kubernetes 环境中配置错误或权限过高的容器可能会导致未经授权访问敏感的 AWS 凭证,从而使环境面临权限提升和恶意活动的风险。”
趋势科技的研究表示,它发现了“涉及权限过高的容器的漏洞场景,包括嗅探未加密的 HTTP 流量的数据包以访问纯文本凭据和 API 欺骗,后者使用网络设置拦截授权令牌并获得提升的权限。”
AWS 不同意该报告,认为这是一个用户问题。
AWS 的声明中表示,它已完成对该安全漏洞的调查,并确定它“不是一个安全问题,而是属于节点本身信任边界内、共享责任模型客户端的预期行为”。
亚马逊的 EKS 旨在通过自动化Kubernetes 控制平面的管理并与 AWS 的存储、网络和网络安全服务集成来简化 AWS 上的 Kubernetes 集群。
EKS Pod身份问题
Amazon EKS Pod Identity 旨在简化向 EKS 集群中运行的 Pod 授予 AWS 凭证的过程。它为服务账户提供身份和访问管理 (IAM) 角色,从而允许从 Kubernetes 应用程序内部安全访问 AWS 资源,例如 S3 存储桶或 DynamoDB 表。
Pod Identity 通过为每个节点授予临时凭证,允许 Pod 安全地访问 AWS 资源。这会在本地 IP 地址上公开一个 API,使 Pod 中的应用程序能够获取其关联 IAM 角色所需的凭证。
趋势科技的报告称,当容器配置错误或被授予过多权限时,就会出现安全风险。
趋势科技报告指出:“这会带来安全风险,因为任何设置为‘hostNetwork: true’的pod都可能监控节点上的网络流量,从而拦截从API端点发送的任何凭证。由于AWS环境不会将这些凭证绑定到特定资产,恶意行为者可以利用它们在环境中提升权限。”
该漏洞允许被拦截的凭证在环境的其他部分被重复使用。
报告指出:“研究结果强调了在使用Amazon EKS Pod Identity 简化 Kubernetes 环境中的 AWS 资源访问时需要考虑的关键安全事项。错误配置,尤其是涉及具有过高权限的容器时,可能会暴露 AWS 凭证并造成重大风险,包括权限提升和云环境中的未经授权的操作。”
AWS 响应
根据 AWS 的说法,节点或集群操作员有责任确保具有提升权限的应用程序具有适当的范围。
AWS 表示:“节点能够承担 pod 身份角色,这是意料之中的,并且符合信任边界模型,正如 EKS pod 安全最佳实践和共享责任文档中概述的那样。”
基于 Kubernetes 的容器平台可自动化容器化应用程序的部署、扩展和操作,使其成为微服务和工作负载的理想选择。
趋势科技在其报告中总结道:“这些漏洞强调了遵守最小特权原则、确保容器配置范围适当以及最大限度地减少恶意行为者利用的机会的重要性。”
