Ouverture officielle de la chasse aux bogues de Kubernetes

Remarque perev. : Il y a deux semaines, Kubernetes a lancé le programme Bug Bounty - une étape importante et attendue depuis longtemps pour un projet Open Source à si grande échelle. Dans le cadre de cette initiative, tout passionné qui trouve un problème de sécurité dans les K8 peut recevoir une récompense allant de 100 USD (criticité minimale) à 10000 USD (criticité la plus élevée pour un composant du noyau Kubernetes). Le programme a été annoncé par l'équipe de sécurité K8 de Google - une traduction est fournie ci-dessous.



Le 14 janvier, le comité de sécurité des produits de Kubernetes a lancé un nouveau programme de primes aux bogues , dans lequel les chercheurs seront récompensés pour les vulnérabilités découvertes dans Kubernetes. Le programme est parrainé par la CNCF .

Description du programme

Nous avons essayé de formuler les règles de ce programme de la manière la plus transparente possible, ce qui a été facilité par la proposition initiale , une évaluation préliminaire des prestataires de services concernés et un plan de travail énumérant les composantes à l'étude. Dès que nous avons décidé de la plate-forme - HackerOne - ces documents ont été révisés sur la base des commentaires et suggestions faits par HackerOne, ainsi que des informations obtenues à partir d'un récent audit de sécurité Kubernetes .

Le programme de bug bounty a été exécuté dans un format fermé pendant plusieurs mois: des experts invités ont signalé des erreurs et nous ont aidés à tester le processus de filtrage. Et maintenant, près de deux ans après la proposition initiale, le programme est enfin prêt et accueille tous ceux qui sont pressés de nous aider dans la lutte contre les erreurs!

Particulièrement dérangeant est le fait que les programmes de bug bounty sont extrêmement rares pour les projets d'infrastructure Open Source. Certains logiciels de recherche de bogues Open Source sont bien connus, comme Internet Bug Bounty . Cependant, ils se concentrent principalement sur les composants de base qui sont déployés séquentiellement dans différents environnements. La plupart des programmes de bug bounty sont destinés aux applications Web.

En fait, étant donné qu'il existe maintenant plus de 100 distributions Kubernetes certifiées (le lien ne répertorie pas les produits, mais les fournisseurs de services [KCSP] - les distributions elles-mêmes sont un peu plus petites aujourd'hui - environ Transl.) , Le programme de primes de bogues devrait être Appliqué au code Kubernetes, qui les sous-tend tous.

Jusqu'à présent, la tâche la plus longue a été de s'assurer que le fournisseur de la plateforme (HackerOne) et ses spécialistes du pré-tri ont une bonne compréhension de Kubernetes et sont en mesure de confirmer la présence du bogue signalé. Dans le cadre de la phase préparatoire, l'équipe HackerOne a réussi l'examen pour les administrateurs certifiés Kubernetes (CKA).

Qu'est-ce qui est inclus dans le programme?

Bug bounty couvre le code pour les composants principaux de l'écosystème Kubernetes sur GitHub, ainsi que les artefacts d'intégration continue, les versions et la documentation. En fait, la plupart du contenu inclus sur https://github.com/kubernetes est impliqué dans le programme - celui que vous associez au «noyau» Kubernetes. Nous sommes particulièrement intéressés par les attaques de cluster, telles que l'escalade de privilèges, les erreurs d'authentification et l'exécution de code à distance dans kubelet ou sur le serveur API.

Nous sommes également intéressés par toute fuite d'informations sur les charges de travail ou les modifications inattendues des droits. En outre, nous vous suggérons de prendre une courte pause dans l'administration du cluster et d'essayer d'examiner l'ensemble de la chaîne d'approvisionnement, y compris les processus de génération et de publication, afin de les étudier pour un accès non autorisé aux validations ou la possibilité de publier des artefacts douteux.

Il convient de noter que le programme ne couvre pas les outils pour interagir avec la communauté - par exemple, les listes de diffusion Kubernetes ou un canal dans Slack. Les sorties de conteneurs, les attaques sur le noyau Linux ou d'autres dépendances (comme etcd) sont également au-delà de notre intérêt (elles doivent être dirigées vers les parties appropriées). Dans ce cas, nous vous serions reconnaissants si vous informez en privé le Comité de sécurité des produits Kubernetes de toute vulnérabilité trouvée liée à Kubernetes, même si elles dépassent le cadre de la prime aux bogues.

Une liste complète des sujets et des domaines dans la prime de bogue peut être trouvée sur la page du programme .

Procédures de vulnérabilité et divulgation d'informations

Le comité de sécurité de Kubernetes est composé d'experts en sécurité chargés de recevoir et de signaler les problèmes de sécurité chez Kubernetes. Dans leur travail, ils suivent un processus bien documenté pour répondre aux vulnérabilités, ce qui implique un tri initial, une évaluation des conséquences, la création d'un correctif et son déploiement.

Dans notre cas, la plateforme HackerOne organise le programme, le tri primaire et l'évaluation de base. Grâce à cela, nos experts en sécurité Kubernetes peuvent se concentrer sur les erreurs vraiment importantes. Tout le reste reste le même: le Comité de sécurité continuera à développer des correctifs, à collecter les correctifs fermés et à coordonner les versions spéciales. La sortie de nouvelles versions avec des correctifs de sécurité sera annoncée sur la chaîne kubernetes-security-announce@googlegroups.com .

Ceux qui souhaitent signaler un bug peuvent le faire de manière classique (en contournant le programme de bug bounty). Pour ce faire, envoyez votre rapport à security@kubernetes.io .

Par où commencer?

Tout comme de nombreuses organisations prennent en charge les logiciels open source, en embauchant des développeurs, le paiement de primes par le biais d'une prime de bogue aide les chercheurs en sécurité. Ce programme est une étape critique pour Kubernetes, vous permettant de renforcer votre propre communauté de professionnels de la sécurité et de les récompenser pour leur travail acharné.

Si vous êtes un spécialiste de la sécurité nouveau chez Kubernetes, consultez les ressources suivantes. Ils vous aideront à démarrer la chasse aux bogues:

• Guides de sécurité :
  
  • Kubernetes.io .
• Cadres
  
  • Repères CIS ;
  • NIST 800-190 .
• Discours :
  
  • Le diable dans les détails: la première évaluation de la sécurité de Kubernetes (KubeCon NA 2019);
  • Crafty Requests: Deep Dive into Kubernetes CVE-2018-1002105 (KubeCon EU 2019);
  • Guide du pirate informatique sur Kubernetes et le cloud (KubeCon EU 2018);
  • Expédition dans des eaux infestées de pirates (KubeCon NA 2017);
  • Hacking and Hardening Kubernetes clusters by example (KubeCon NA 2017).

Si vous trouvez une vulnérabilité, veuillez la signaler au programme de prime aux bogues de Kubernetes sur https://hackerone.com/kubernetes .

PS du traducteur

Lisez aussi dans notre blog:

• « Helm 3 a passé un audit de sécurité indépendant »;
• « 33+ outils de sécurité Kubernetes »;
• « Docker et Kubernetes dans des environnements exigeants en matière de sécurité »;
• « 9 Kubernetes Security Best Practices ».