Una vulnerabilidad recién descubierta en el motor de tiempo de ejecución del contenedor CRI-O Kubernetes ha subrayado una vez más la creciente necesidad de proteger mejor los entornos de Kubernetes de actores malintencionados, mientras que un informe ha destacado una desconexión preocupante entre los líderes de TI cuando se trata de proteger los contenedores de Kubernetes.
Rastreado como CVE-2022-0811 y denominado cr8escape, el error CRI-O fue descubierto por investigadores de CrowdStrike, quienes trabajaron junto con Kubernetes en CRI-O para desarrollar un parche, que se emitió el martes 16 de marzo.
Los tiempos de ejecución de contenedores, como CRI-O o Docker, se utilizan para compartir de forma segura el kernel y los recursos de cada nodo de Kubernetes con las aplicaciones en contenedores que se ejecutan en ellos. El kernel de Linux está diseñado para aceptar parámetros de tiempo de ejecución para controlar su comportamiento, algunos de los cuales tienen espacios de nombres, lo que significa que se pueden configurar en un solo contenedor sin afectar el sistema en general. Juntos, Kubernetes y CRI-O permiten que los pods actualicen dichas configuraciones seguras mientras bloquean el acceso a las inseguras.
Cr8escape, sin embargo, permite que un atacante malicioso eluda estas medidas de seguridad y promulgue parámetros de kernel arbitrarios en el host, con el resultado de que pueden escapar del contenedor de Kubernetes, obtener acceso raíz en el host y moverse a cualquier otro lugar del clúster que deseen. desea realizar una variedad de acciones, incluida la filtración de datos o la implementación de malware o ransomware.
Afecta directamente a la versión 1.19 y posteriores de CRI-O, y varios softwares y plataformas que dependen de él también pueden ser vulnerables, como OpenShift 4+ y Oracle Container Engine para Kubernetes. Los usuarios del servicio Falcon Cloud Workload Protection de CrowdStrike están protegidos, pero se recomienda a todos que apliquen las mitigaciones y parches que se detallan en el aviso de divulgación de CrowdStrike.
La divulgación de Crowdstrike coincide con la publicación de un informe del especialista en administración de datos de múltiples nubes Veritas Technologies, que reveló que el 91 % de los líderes de TI del Reino Unido que usan Kubernetes en sus organizaciones dijeron que los ataques de ransomware realizados a través de sus entornos de Kubernetes eran una preocupación, y que el 53 % tenía uno experimentado.
El estudio de Veritas, que también encuestó a los tomadores de decisiones en Apac, Emea y América, encontró que, en general, las empresas no están preparadas para enfrentar amenazas contra sus entornos de Kubernetes y, en muchos casos, son “peligrosamente lentas” para extender los servicios de protección de datos.
La firma dijo que las empresas del Reino Unido estaban perdiendo la oportunidad de brindar una protección rápida a los conjuntos de datos en riesgo al no extender los paraguas de protección de datos existentes para incluir entornos en contenedores, así como cargas de trabajo tradicionales: solo el 37% de las organizaciones seguían este modelo, la mayoría eran complicando las cosas al implementar protecciones de seguridad independientes aunque la mayoría también creía que había beneficios al adoptar un enfoque integrado. Veritas sugirió que esto podría deberse a la falta de conocimiento de los servicios que pueden proteger los datos en entornos tradicionales, virtuales y de Kubernetes.
Ian Wood, director de tecnología de Veritas para el Reino Unido e Irlanda, comentó: “Kubernetes ofrece un mundo de beneficios para las empresas: es asequible, flexible, escalable y realmente fácil de implementar. Por lo tanto, adoptar la contenedorización es una obviedad para las empresas del Reino Unido. Desafortunadamente, esto a menudo significa que es realmente fácil para las organizaciones avanzar más rápido con su implementación de Kubernetes que con su protección de Kubernetes.
“Con las aplicaciones en entornos en contenedores cambiando cada vez más a tener datos con estado, de repente, se encontraron con más de dos tercios de sus entornos Kubernetes de misión crítica completamente desprotegidos contra la pérdida de datos. Si bien los beneficios de Kubernetes son enormes, las empresas deben asegurarse de que sus medidas de protección sigan el ritmo para que Kubernetes no se convierta en el talón de Aquiles en su estrategia de defensa contra ransomware”.