Kubernetes Bug Hunt offiziell eröffnet

Hinweis perev. : Vor zwei Wochen startete Kubernetes das Bug Bounty-Programm, einen lang erwarteten und wichtigen Schritt für ein so großes Open Source-Projekt. Im Rahmen dieser Initiative kann jeder Enthusiast, der in K8 ein Sicherheitsproblem findet, eine Belohnung zwischen 100 USD (Mindestkritikalität) und 10.000 USD (höchste Kritikalität für eine Komponente aus dem Kubernetes-Kern) erhalten. Das Programm wurde vom K8-Sicherheitsteam von Google angekündigt. Eine Übersetzung finden Sie weiter unten.



Am 14. Januar startete das Kubernetes Product Security Committee ein neues Bug Bounty-Programm , bei dem Forscher für in Kubernetes entdeckte Schwachstellen belohnt werden. Das Programm wird von CNCF gesponsert .

Programmbeschreibung

Wir haben uns bemüht, die Regeln dieses Programms so transparent wie möglich zu gestalten. Dies wurde durch den ursprünglichen Vorschlag , eine vorläufige Bewertung der jeweiligen Dienstleister und einen Arbeitsplan mit einer Auflistung der zu untersuchenden Komponenten erleichtert. Sobald wir uns für die Plattform HackerOne entschieden haben, wurden diese Dokumente auf der Grundlage von Kommentaren und Vorschlägen von HackerOne sowie Informationen überarbeitet, die aus einem kürzlich durchgeführten Kubernetes-Sicherheitsaudit hervorgegangen sind .

Das Bug-Bounty-Programm wurde mehrere Monate lang in einem geschlossenen Format ausgeführt: Eingeladene Experten meldeten Fehler und halfen uns, den Filterprozess zu testen. Und jetzt, fast zwei Jahre nach dem ursprünglichen Vorschlag, ist das Programm endlich fertig und heißt alle willkommen, die es eilig haben, uns im Kampf gegen Fehler zu helfen!

Besonders beunruhigend ist die Tatsache, dass Bug-Bounty-Programme für Infrastruktur-Open-Source-Projekte äußerst selten sind. Einige Open Source-Bugfinder sind bekannt, wie z. B. Internet Bug Bounty . Sie konzentrieren sich jedoch hauptsächlich auf die Basiskomponenten, die nacheinander in verschiedenen Umgebungen bereitgestellt werden. Die meisten Bug-Bounty-Programme sind für Webanwendungen gedacht.

Angesichts der Tatsache, dass es mittlerweile mehr als 100 zertifizierte Kubernetes-Distributionen gibt (der Link listet nicht die Produkte, sondern die Dienstleister [KCSP] auf - die Distributionen selbst sind heute etwas kleiner - ca. übersetzt) , sollte das Bug-Bounty-Programm lauten Wird auf Kubernetes-Code angewendet, der allen zugrunde liegt.

Bisher bestand die zeitaufwändigste Aufgabe darin, sicherzustellen, dass der Plattformanbieter (HackerOne) und seine Vorsortierungsspezialisten ein gutes Verständnis für Kubernetes haben und in der Lage sind, das Vorhandensein des gemeldeten Fehlers zu bestätigen. Im Rahmen der Vorbereitungsphase bestand das HackerOne-Team die Prüfung zum Certified Kubernetes Administrators (CKA).

Was ist im Programm enthalten?

Bug Bounty umfasst Code für die Kernkomponenten des Kubernetes-Ökosystems auf GitHub sowie Artefakte, Releases und Dokumentationen für die fortlaufende Integration. Tatsächlich ist der größte Teil des Inhalts von https://github.com/kubernetes in das Programm eingebunden - derjenige, den Sie mit den „Kern“ -Kubernetes verknüpfen. Wir sind besonders an Clusterangriffen interessiert, wie etwa der Eskalation von Berechtigungen, Authentifizierungsfehlern und der Ausführung von Remotecode in kubelet oder auf dem API-Server.

Wir sind auch an einem Verlust von Informationen zu Arbeitslasten oder unerwarteten Änderungen von Rechten interessiert. Darüber hinaus empfehlen wir, dass Sie eine kurze Pause von der Clusterverwaltung einlegen und versuchen, die gesamte Lieferkette einschließlich der Erstellungs- und Freigabeprozesse zu untersuchen, um festzustellen, ob nicht autorisierter Zugriff auf Commits besteht oder ob fragwürdige Artefakte veröffentlicht werden können.

Es ist zu beachten, dass das Programm keine Tools für die Interaktion mit der Community abdeckt, z. B. Kubernetes-Mailinglisten oder einen Kanal in Slack. Das Verlassen von Containern, Angriffe auf den Linux-Kernel oder andere Abhängigkeiten (z. B. etcd) liegen ebenfalls außerhalb unseres Interesses (sie sollten an die entsprechenden Parteien gerichtet werden). In diesem Fall wären wir Ihnen dankbar, wenn Sie das Kubernetes Product Security Committee privat über alle Schwachstellen informieren würden, die im Zusammenhang mit Kubernetes festgestellt wurden, auch wenn diese außerhalb des Rahmens von Bug Bounty liegen.

Eine vollständige Liste der Themen und Bereiche innerhalb der Bug Bounty finden Sie auf der Programmseite .

Vulnerability Procedures und Information Disclosure

Das Kubernetes Security Committee setzt sich aus Sicherheitsexperten zusammen, die für den Empfang und die Meldung von Sicherheitsproblemen bei Kubernetes verantwortlich sind. In ihrer Arbeit folgen sie einem gut dokumentierten Prozess, um auf Schwachstellen zu reagieren. Dazu gehören die anfängliche Sortierung, die Bewertung der Konsequenzen, die Erstellung einer Fehlerbehebung und die Einführung.

In unserem Fall organisiert die HackerOne-Plattform das Programm, die Primärsortierung und die Basisauswertung. Dank dessen können sich unsere Kubernetes-Sicherheitsexperten auf wirklich wichtige Fehler konzentrieren. Alles andere bleibt gleich: Das Sicherheitskomitee wird weiterhin Patches entwickeln, geschlossene Patches sammeln und spezielle Releases koordinieren. Die Veröffentlichung neuer Releases mit Sicherheitsupdates wird im Channel kubernetes-security-announce@googlegroups.com angekündigt .

Diejenigen, die einen Fehler melden möchten, können dies auf klassische Weise tun (unter Umgehung des Bug-Bounty-Programms). Senden Sie dazu Ihren Bericht an security@kubernetes.io .

Wo soll ich anfangen?

Genauso wie viele Unternehmen Open Source-Software durch die Einstellung von Entwicklern unterstützen, hilft das Bezahlen von Boni durch Bug Bounty dabei, Sicherheitsforscher zu unterstützen. Dieses Programm ist ein entscheidender Schritt für Kubernetes, mit dem Sie Ihre eigene Community von Sicherheitsexperten stärken und sie für ihre harte Arbeit belohnen können.

Wenn Sie ein neuer Sicherheitsspezialist bei Kubernetes sind, lesen Sie die folgenden Ressourcen. Sie helfen Ihnen bei der Fehlersuche:

• Sicherheitsanleitungen :
  
  • Kubernetes.io .
• Frameworks
  
  • GUS-Benchmarks ;
  • NIST 800-190 .
• Reden :
  
  • Der Teufel im Detail: Kubernetes erste Sicherheitsbewertung (KubeCon NA 2019);
  • Crafty Requests: Tauchen Sie ein in Kubernetes CVE-2018-1002105 (KubeCon EU 2019);
  • Ein Leitfaden für Hacker zu Kubernetes und der Cloud (KubeCon EU 2018);
  • Versand in von Piraten befallenen Gewässern (KubeCon NA 2017);
  • Beispielhaftes Hacken und Härten von Kubernetes-Clustern (KubeCon NA 2017).

Wenn Sie eine Sicherheitslücke finden, melden Sie diese bitte dem Kubernetes-Programm zur Bereinigung von Fehlern unter https://hackerone.com/kubernetes .

PS vom Übersetzer

Lesen Sie auch in unserem Blog:

• " Helm 3 hat eine unabhängige Sicherheitsüberprüfung bestanden ";
• " 33+ Kubernetes Security Tools ";
• " Docker und Kubernetes in sicherheitsrelevanten Umgebungen ";
• " 9 Best Practices für Kubernetes-Sicherheit ."