O Kubernetes, sistema de orquestração de containers que nasceu no Google, tem uma falha gravíssima que acaba de ser corrigida nas versões v1.10.11, v1.11.5 e v1.12.3. Todas as outras têm a vulnerabilidade CVE-2018-1002105: ela é permite escalação de privilégios, podendo um invasor obter privilégios completos de administrador em qualquer dos nós da plataforma. Por essa razão, a vulnerabilidade teve quase pontuação máxima no catálogo CVSS, ficando com o grau 9,8.
O problema também será corrigido também na versão v1.13.0, segundo o engenheiro de software Jordan Liggitt, do Google: “Esta vulnerabilidade permite que requests criados sob medida estabeleçam, por meio do servidor de APIs do Kubernetes, uma conexão com os servidores de backend (por exemplo, os servidores de API agregados e os kubelets). Podem assim enviar as solicitações que quiserem pela mesma conexão, diretamente ao backend. E serão solicitações autenticadas com as credenciais TLS do servidor Kubernetes API utilizado para fazer a conexão com o backend ”, explicou ele.
Esse é o primeiro grande bug descoberto nessa popular plataforma de orquestração de contêineres, e provavelmente será explorado ilegalmente, por causa da crescente popularidade dos microsserviços entre as equipes de DevOps. “Isso é um problemão”, admitiu Ashesh Badani, líder de plataformas da Red Hat. “Uma pessoa pode não só roubar dados confidenciais ou injetar códigos maliciosos, também derrubar aplicativos de produção e serviços do firewall de uma organização”. Todos os produtos da empresa baseados em Kubernetes foram afetados: OpenShift Container Platform, OpenShift Online e OpenShift Dedicated.
Segundo a empresa InfosecurityGroup há pesquisas indicando que 44% das empresas planejam substituir algumas de suas máquinas virtuais (VMs) por contêineres, 71% disseram já ter implantado contêineres em uma VM.
