Kubernetes」に初めて深刻な脆弱性が発見された。(中略)Kubernetesの権限昇格に関する脆弱性とも称されているこの脆弱性は深刻なものであり、共通脆弱性評価システム(CVSS)による深刻度は9.8(最大値は10.0)となっている。
特殊な細工が施されたネットワークリクエストを用いれば、誰でもKubernetes APIサーバ経由でバックエンドサーバとのコネクションを確立できる。そして、いったんコネクションを確立すれば、攻撃者はそのネットワーク接続を介してバックエンドに直接、任意のリクエストを送信できるようになる。それだけではない。こういったリクエストはKubernetes APIサーバのTLS資格情報を用いて認証されたものとなるのだ。
さらに、「デフォルト設定では、すべてのユーザー(認証の有無にかかわらない)に対して、この権限昇格を可能にするディスカバリAPI呼び出しの実行が許可されている」という。つまり、この脆弱性について知っている人物であれば誰でもKubernetesクラスタを手中に収めることができる。
そして、「この脆弱性が悪用されたかどうかを検知する簡単な方法は存在しない。というのも、こういった不正なリクエストは確立されたコネクションを介して行われるため、KubernetesのAPIサーバ監査ログやサーバログ上には記録されないためだ。このようなリクエストはkubeletやaggregated APIサーバのログ上には記録されるが、Kubernetes APIサーバを介した、適切なかたちで認証され、プロキシ化されたリクエストと区別することができない」という点だ。
ひぇっ...