Ερευνητές ανιχνεύσαν μία κρίσιμη ασφάλεια στο Google Kubernetes Engine (GKE) που θεωρητικά θα μπορούσε να επιτρέψει απειλητικούς παράγοντες με ένα λογαριασμό Google να αποκτήσουν τον έλεγχο του λογαριασμού.

Με την κωδική ονομασία Sys:All από την εταιρεία ασφαλείας στον cloud Orca, περίπου 250.000 ενεργά GKE επηρεάζονται από την ευπάθεια. Το πρόβλημα προκύπτει από μια παρανόηση σχετικά με την ομάδα system:authenticated, καθώς περιλαμβάνει οποιονδήποτε λογαριασμό Google που έχει πιστοποιηθεί, όχι μόνο επαληθευμένες και προσδιορίσιμες ταυτότητες. Αυτό μπορεί να έχει σοβαρές συνέπειες όταν οι διαχειριστές παραχωρούν αθέμιτους ρόλους σε αυτήν την ομάδα.

Η ευπάθεια επιτρέπει σε έναν εξωτερικό απειλητικό παράγοντα να εκμεταλλευτεί ένα λανθασμένα ρυθμισμένο συστατικό στον λογαριασμό Google, χρησιμοποιώντας το bearer token του Google OAuth 2.0, προκειμένου να αναλάβει τον έλεγχο αυτού του συστατικού. Αυτό μπορεί να οδηγήσει σε διάφορες κακόβουλες δραστηριότητες, όπως απάτη με κρυπτονομίσματα, οι DDoS επιθέσεις και η κλοπή ευαίσθητων δεδομένων. Σημαντικό είναι ότι η επίθεση δεν αφήνει ίχνη που να συνδέονται με τον αρχικό λογαριασμό Gmail ή τον λογαριασμό Google Workspace που απέκτησε το OAuth bearer token.

Με την ονομασία Sys:All, η ευπάθεια έχει επηρεάσει πολλούς οργανισμούς, αποκαλύπτοντας ευαίσθητες πληροφορίες, όπως τα JWT tokens, τα κλειδιά API GCP, τα κλειδιά AWS, τα διαπιστευτήρια Google OAuth, τα ιδιωτικά κλειδιά και τα διαπιστευτήρια για τους αποθηκευτικούςς χώρους εμπορευμάτων. Η Google έχει λάβει μέτρα για να αποτρέψει τη σύνδεση της ομάδας system:authenticated στο ρόλο cluster-admin στις εκδόσεις GKE 1.28 και μεταγενέστερες.

Η Google συνιστά να μη συνδέεται η ομάδα system:authenticated σε κανέναν ρόλο RBAC και προτείνει τον έλεγχο και την αφαίρεση επικίνδυνων συνδέσεων στις ClusterRoleBindings και RoleBindings.