Infrastructure de plus en plus présente dans le système d’information des entreprises, Kubernetes fait l’objet d’une alerte de sécurité de niveau très élevé.
C’est une faille de sécurité de niveau critique (de niveau 9,8 sur l’échelle de sévérité CVSS qui va jusqu’à 10) qui vient d’être révélée sur l’orchestrateur Kubernetes. La faille CVE-2018-1002105 permettait à un attaquant de réaliser une élévation de privilèges et devenir administrateur d’un cluster Kubernetes. Dès lors, le pirate pouvait prendre le contrôle de l’ensemble des conteneurs exécutés sur le cluster, arrêter les applications à sa guise, mais aussi accéder au contenu même des conteneurs. Dès lors, le pirate pouvait mettre la main sur les fichiers et données stockées dans les SGBD.
Une faille comparable existait aussi au niveau des API de Kubernetes. En effectuant une élévation de privilèges via ces API, il était possible d’accéder au catalogue de services du cluster et donc potentiellement pouvoir y placer des conteneurs porteurs de malware.
Une faille fort heureusement déjà patchée
On ne sait pas si un pirate a pu exploiter l’une ou l’autre de ses failles. Celles-ci ont été corrigées sur les deux dernières versions de Kubernetes (1.10 et 1.11). Néanmoins l’information a été rendue publique afin que les entreprises qui exploitent encore des versions antérieures puissent les patcher au plus vite étant donnée la gravité de la faille. « Cette faille est extrêmement critique » déplore Guilhem Lettron, fondateur de Barpilot, un service Kubernetes managé. « Elle nous rappelle surtout que Kubernetes n’est qu’un logiciel comme les autres. Il a eu, a et aura des bugs, failles et nouvelles fonctionnalités. C’est d’ailleurs le signe d’une bonne tenue du projet que de voir une faille détectée, publiée et patchée aussi vite. »
Red Hat impliqué dans les correctifs
Parmi les acteurs qui ont travaillé sur la création du patch, Red Hat. Hervé Lemaitre, CTO de Red Hat France, explique : » Lorsque cette faille a été découverte, celle-ci a été traitée dans un groupe restreint de la communauté Kubernetes. ». « En tant que l’un des contributeurs principaux de ce projet, Red Hat a été impliqué très tôt dans ce travail de développement d’un correctif. D’autre part, Red Hat dispose d’une équipe de sécurité, la Product Security Team, dont le rôle est justement d’être au contact avec les découvreurs de failles afin d’y remédier au plus vite. »
Red Hat est impliqué à plus d’un titre puisque l’éditeur maintient Kubernetes dans son offre OpenShift sur une durée plus longue que la version communautaire de l’orchestrateur. L’éditeur a donc mis en ligne des correctifs pour des versions plus anciennes, avec toutes les versions depuis la 3.11 actuelle jusqu’à la version 3.2 d’OpenShift, livrée en 2016. Outre ce « rétroportage » du patch de sécurité sur ces versions et pour lequel tous les clients Red Hat ont été notifiés, « pour les versions en ligne OpenShift Online et OpenShift Starter, ces solutions ont été mise à jour de manière automatisée sans que nos clients ne s’en aperçoivent. » De même, tous les utilisateurs de solutions de CaaS (Conteneur as a Service) du marché doivent s’assurer que leur fournisseur a bien effectué la montée de version de son Kubernetes ou passer le patch correspondant à sa version de production.
Alors que Kubernetes s’impose comme la solution la plus fréquemment choisie pour orchestrer la distribution de conteneurs, cette première alerte de sécurité doit sonner comme un rappel à l’ordre. Kubernetes est devenu un composant stratégique d’un SI moderne et ne peut être considéré comme une commodité. Guilhem Lettron conclut : « L’automatisation prend ici tout son sens, si l’on sait déployer un cluster à la volée, on doit être capable d’avoir facilement un cluster patché. Les mises à jour peuvent être un peu plus compliquées mais pas insurmontables. Il est d’ailleurs à noter que les plus gros acteurs du Cloud public Kubernetes proposent des mises à jour ou des mitigations automatiques, leurs clients profitant d’une expertise et d’outils de déploiement adaptés. »
La popularité grandissante de Kubernetes va immanquablement attirer de plus en plus de chercheurs en cybersécurité et pirates si bien que de telles annonces pourraient se multiplier à l’avenir, ce qui signifie aussi plus de sécurité et de stabilité pour les applications en conteneurs.
Auteur : Alain Clapaud
