Kubernetes bug hunt oficialmente abierto

Nota perev. : Hace dos semanas, Kubernetes lanzó el programa Bug Bounty, un paso tan esperado e importante para un proyecto de código abierto a gran escala. Como parte de esta iniciativa, cualquier entusiasta que encuentre un problema de seguridad en los K8 puede recibir una recompensa de USD 100 (mínimo crítico) a USD 10,000 (máximo crítico para un componente del núcleo de Kubernetes). El programa fue anunciado por el equipo de seguridad K8 de Google. A continuación se proporciona una traducción.



El 14 de enero, el Comité de Seguridad de Productos de Kubernetes lanzó un nuevo programa de recompensas de errores , en el que los investigadores serán recompensados ​​por las vulnerabilidades descubiertas en Kubernetes. El programa está patrocinado por CNCF .

Descripción del programa

Intentamos formular las reglas de este programa de la forma más transparente posible, lo que fue facilitado por la propuesta inicial , una evaluación preliminar de los proveedores de servicios relevantes y un plan de trabajo que enumera los componentes que se estudian. Tan pronto como decidimos sobre la plataforma, HackerOne , estos documentos fueron revisados ​​en base a los comentarios y sugerencias de HackerOne, así como a la información obtenida de una reciente auditoría de seguridad de Kubernetes .

El programa de recompensas de errores se ejecutó en un formato cerrado durante varios meses: los expertos invitados informaron de errores y nos ayudaron a probar el proceso de filtrado. ¡Y ahora, casi dos años después de la propuesta inicial, el programa finalmente está listo y da la bienvenida a todos los que tienen prisa por ayudarnos en la lucha contra los errores!

Particularmente inquietante es el hecho de que los programas de recompensas de errores son extremadamente raros para proyectos de infraestructura de código abierto. Algunos buscadores de errores de código abierto son bien conocidos, como Internet Bug Bounty . Sin embargo, se concentran principalmente en los componentes básicos que se implementan secuencialmente en diferentes entornos. La mayoría de los programas de recompensas de errores son para aplicaciones web.

De hecho, dado que ahora hay más de 100 distribuciones certificadas de Kubernetes (el enlace no enumera los productos, sino los proveedores de servicios [KCSP] - las distribuciones en sí son algo más pequeñas hoy en día - Transl. Aprox.) , El programa de recompensa por errores debería ser Aplicado al código de Kubernetes, que subyace a todos ellos.

Hasta ahora, la tarea más lenta ha sido asegurarse de que el proveedor de la plataforma (HackerOne) y sus especialistas en clasificación previa tengan un buen conocimiento de Kubernetes y puedan confirmar la presencia del error reportado. Como parte de la fase preparatoria, el equipo de HackerOne aprobó el examen para Administradores Certificados de Kubernetes (CKA).

¿Qué se incluye en el programa?

Bug Bounty cubre el código para los componentes centrales del ecosistema de Kubernetes en GitHub, así como los artefactos de integración continua, versiones y documentación. De hecho, la mayor parte del contenido incluido en https://github.com/kubernetes está involucrado en el programa, el que asociará con los Kubernetes "centrales". Estamos particularmente interesados ​​en los ataques al clúster, como la escalada de privilegios, los errores de autenticación y la ejecución remota de código en kubelet o en el servidor API.

También estamos interesados ​​en cualquier fuga de información sobre cargas de trabajo o cambios inesperados en los derechos. Además, le sugerimos que tome un breve descanso de la administración del clúster e intente examinar toda la cadena de suministro, incluidos los procesos de compilación y lanzamiento, para estudiarlos en busca de acceso no autorizado a compromisos o la capacidad de publicar artefactos cuestionables.

Cabe señalar que el programa no cubre herramientas para interactuar con la comunidad, por ejemplo, listas de correo de Kubernetes o un canal en Slack. Las salidas de los contenedores, los ataques al kernel de Linux u otras dependencias (como etcd) también están fuera del alcance de nuestro interés (deben dirigirse a las partes correspondientes). En este caso, le agradeceríamos que informara en privado al Comité de Seguridad de Productos de Kubernetes sobre cualquier vulnerabilidad encontrada relacionada con Kubernetes, incluso si están fuera del alcance de la recompensa por errores.

Puede encontrar una lista completa de temas y áreas dentro de la recompensa de errores en la página del programa .

Procedimientos de vulnerabilidad y divulgación de información

El Comité de Seguridad de Kubernetes está compuesto por expertos en seguridad que son responsables de recibir y reportar problemas de seguridad en Kubernetes. En su trabajo, siguen un proceso bien documentado para responder a las vulnerabilidades, que implica la clasificación inicial, la evaluación de las consecuencias, la creación de una solución y su implementación.

En nuestro caso, la plataforma HackerOne organiza el programa, la clasificación primaria y la evaluación básica. Gracias a esto, nuestros expertos en seguridad de Kubernetes pueden concentrarse en errores realmente significativos. Todo lo demás sigue igual: el Comité de Seguridad continuará desarrollando parches, recolectará parches cerrados y coordinará lanzamientos especiales. El lanzamiento de nuevas versiones con correcciones de seguridad se anunciará en el canal kubernetes-security-announce@googlegroups.com .

Aquellos que deseen informar un error pueden hacerlo de una manera clásica (sin pasar por el programa de recompensas de errores). Para hacer esto, envíe su informe a security@kubernetes.io .

Por donde empezar

Al igual que muchas organizaciones admiten software de código abierto mediante la contratación de desarrolladores, el pago de bonificaciones a través de la recompensa de errores ayuda a los investigadores de seguridad. Este programa es un paso crítico para Kubernetes, ya que le permite fortalecer su propia comunidad de profesionales de seguridad y recompensarlos por su arduo trabajo.

Si es un especialista en seguridad nuevo en Kubernetes, consulte los siguientes recursos. Te ayudarán a comenzar la búsqueda de errores:

• Guías de seguridad :
  
  • Kubernetes.io .
• Marcos
  
  • Puntos de referencia de la CEI ;
  • NIST 800-190 .
• Discursos
  
  • El diablo en los detalles: la primera evaluación de seguridad de Kubernetes (KubeCon NA 2019);
  • Solicitudes astutas: Sumérgete profundamente en Kubernetes CVE-2018-1002105 (KubeCon EU 2019);
  • Una guía de piratas informáticos para Kubernetes y la nube (KubeCon EU 2018);
  • Envíos en aguas infestadas de piratas (KubeCon NA 2017);
  • Hackear y endurecer los grupos de Kubernetes por ejemplo (KubeCon NA 2017).

Si encuentra una vulnerabilidad, infórmela al programa de recompensas de errores de Kubernetes en https://hackerone.com/kubernetes .

PD del traductor

Lea también en nuestro blog:

• " Helm 3 pasó una auditoría de seguridad independiente ";
• " 33+ Herramientas de seguridad de Kubernetes ";
• " Docker y Kubernetes en entornos exigentes de seguridad ";
• "Las 9 mejores prácticas de seguridad de Kubernetes ".