网络安全公司 Palo Alto Networks 报告称，有权访问 Kubernetes 集群的黑客可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。

这些问题本身可能不会构成重大风险，但已在 FluentBit（GKE 中的默认日志记录代理）和 Anthos Service Mesh (ASM)（用于控制服务间通信的可选插件）环境中发现。

FluentBit 是一种轻量级日志处理器和转发器，自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理，从一开始就被部署为 DaemonSet（控制器）。ASM是Google对Istio Service Mesh开源项目的实现，用于服务的管理和可视化。

Palo Alto Networks 表示，最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用，前提是黑客已经在 FluentBit 容器中实现了远程代码执行，或者他们可以突破另一个容器。

“如果黑客有能力在 FluentBit 容器中执行并且集群安装了 ASM，他们就可以创建一个强大的链来完全控制 Kubernetes 集群。黑客可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。

FluentBit 中的错误配置可能允许黑客使用节点中任何 pod 的令牌来冒充该 pod，获得对集群的未经授权的访问，并列出所有正在运行的 pod。

“除了获得对集群的未经授权的访问之外，黑客还可以升级他们的权限或执行有害的操作。事实上，这为黑客提供了巨大的攻击面，具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。

此外，网络安全公司发现，安装后，ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限，允许黑客使用这些权限创建新的 pod，并获得对集群的特权访问。

通过利用FluentBit问题，黑客可以映射集群以找到Istio容器，并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod，瞄准具有高权限的服务帐户，并获得充当集群管理员的权限。

12 月 14 日，谷歌宣布针对这两个问题发布补丁，敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000，以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。

“这些漏洞在 GKE 中无法单独利用，需要进行初步妥协。我们不知道有任何利用这些漏洞的实例，”谷歌在其公告中指出。

---