Kubernetes, una herramienta que impulsa gran parte de la moderna infraestructura nativa en la nube, acaba de recibir su primer gran error de seguridad, y es un error gigantesco. La falla podría dar a un atacante acceso ilimitado a las aplicaciones de software que dependen de la herramienta para funcionar.
Kubernetes es una herramienta de software que gestiona un gran número de contenedores en la nube. Son similares a las máquinas virtuales que ejecutan múltiples sistemas operativos en el mismo equipo físico, pero tienen una diferencia clave. En lugar de albergar un sistema operativo completo, los contenedores albergan sólo lo que se necesita para que se ejecute una aplicación en particular (como dependencias de software, bibliotecas de sistema, etc.), mientras comparten un sistema operativo host con otros contenedores.
Los contenedores son entornos operativos pequeños y ágiles que están diseñados para funcionar de la misma manera en múltiples entornos informáticos, eliminando los problemas de los sistemas convencionales de aplicaciones en la nube. Las empresas pueden gestionar decenas o incluso cientos de miles de contenedores, y eso puede hacer que la implementación, actualización y gestión de todos ellos sea un gran reto. Ahí es donde entra en juego Kubernetes, que maneja los contenedores en grupos llamados vainas.
El programa, que originalmente comenzó como un proyecto de código abierto de Google y ahora es administrado por la Linux Foundation’s Cloud Native Computing Foundation (CNCF), tuvo su primera falla de seguridad conocida, que le da a un atacante un acceso profundo a una instalación de Kubernetes. Permite una petición especialmente diseñada para conectarse con los servidores de Kubernetes y hacer sus propias peticiones.
El equipo de Kubernetes anunció la falla como CVE-2018-1002105. La vulnerabilidad reside en el servidor de la API de Kubernetes – que es una herramienta de software que permite a los usuarios de Kubernetes enviar instrucciones a los pods de Kubernetes a través de una API HTTP (Interfaz de Programación de Aplicaciones) – y en la forma en que el servidor de la API se comunica con un pod de Kubernetes.
El servidor de la API autoriza las solicitudes de los usuarios mediante autenticación basada en certificados. Pero si el usuario envía una petición malformada diseñada para devolver un error, el servidor deja la línea de comunicación abierta y simplemente deja pasar las peticiones subsiguientes sin comprobar si el usuario está autorizado. Esto aumenta efectivamente los privilegios del usuario.
Kubernetes ya ha podido reparado el fallo, y los usuarios de sistemas que soportan parches automatizados ya deberían estar protegidos. Aquellos que no lo son, necesitan que sus instalaciones de Kubernetes sean parcheadas pronto.
Esta web utiliza cookies propias con finalidad funcional y de terceros para realizar el análisis de la navegación de los usuarios, mejorar mis servicios y mostrarte publicidad relacionada con tus preferencias mediante el análisis de tus hábitos de navegación. Si continúa navegando, se considera que acepta su uso.
Leer más