ИБ-компания Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE), которая позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.
Согласно отчетуOrca Security, проблема заключается в распространенном заблуждении относительно группы system:authenticatedв GKE. Группа system:authenticated – это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google. Проблема может иметь серьезные последствия, поскольку администраторы могут ненароком предоставить этой группе излишне широкие полномочия.
Особую опасность представляют внешние злоумышленники, которые могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа “отказ в обслуживании” (Denial of Service,
• DOS (Disk Operating System) – это операционная система для персональных компьютеров, которая была широко распространена в 1980-х и начале 1990-х годов. DOS была разработана для управления операциями с жестким диском и другими устройствами хранения данных, такими как дискеты. DOS работает через командную строку, которая позволяет пользователю вводить команды на языке, понятному компьютеру. С помощью команд можно запускать приложения, перемещаться по файловой системе, создавать и удалять файлы, форматировать диски и многое другое.