Descubierta una debilidad crítica en Google Kubernetes Engine (GKE) que podría permitir a los atacantes tomar el control de un cluster Kubernetes. La falla, denominada Sys:All por Orca, afecta hasta 250.000 clusters activos de GKE y podría ser explotada por un actor malintencionado con una cuenta de Google. Según Ofir Yakobi, investigador de seguridad, Sys:All se origina a partir de una idea equivocada generalizada sobre el grupo system:authenticated de GKE. La mala configuración de permisos otorgados a este grupo podría permitir a un atacante en posesión de su propio token de portador de Google OAuth 2.0 controlar el cluster y llevar a cabo acciones maliciosas como movimiento lateral, denegación de servicio y robo de datos sensibles. Además, este enfoque no deja una huella que se pueda vincular al correo electrónico de Gmail o cuenta de Google Workspace del atacante.
Sys:All afecta a numerosas organizaciones exponiendo datos sensibles como tokens JWT, claves de API de GCP, claves de AWS, credenciales de Google OAuth, claves privadas y credenciales para registros de contenedores. Para abordar el problema, Google ha tomado medidas para bloquear la vinculación del grupo system:authenticated al rol de cluster-admin en las versiones 1.28 y posteriores de GKE, y está recomendando a los usuarios evaluar y eliminar las vinculaciones inseguras. Sin embargo, Orca advierte que todavía quedan muchas otras funciones y permisos que se pueden asignar al grupo, lo que hace necesario que los usuarios tomen medidas adecuadas para asegurar el control de acceso a sus clústeres.
