Orca Security 暴露 Sys：All：GKE 漏洞使 250,000 个集群面临风险

　　网络安全公司 Orca Security 在 Google Kubernetes Engine (GKE) 中发现了一个漏洞，该漏洞使拥有 Google 帐户的个人能够获得对 Kubernetes 集群的控制权。此问题的代号为 Sys：All。据估计，大约有 250,000 个活跃的 GKE 集群容易受到此漏洞的影响。

　　根据 Orca Security 的报告，问题的症结在于对 GKE 中 system：authenticated 组的广泛误解。此特殊组包含所有经过身份验证的实体，包括用户和服务帐户。许多人认为该组仅包含经过验证的用户，而它包含任何 Google 帐户。这种误解可能会产生严重影响，因为管理员可能会无意中向该组授予过于宽泛的权限。

　　潜在的危险会随着外部恶意行为者的出现而升级，他们可能会使用他们的 Google OAuth 2.0 令牌来控制集群，随后将其用于各种恶意目的，包括加密货币挖掘、拒绝服务 (DoS) 攻击和窃取机密数据。此外，这种方法不会留下任何可追溯的证据，这些证据可以链接回特定的Gmail或Google Workspace帐户。

　　各种敏感数据(包括 JWT 令牌、GCP API 密钥、AWS 密钥、Google OAuth 凭据、私钥和对容器注册表的访问)都存在风险，这可能导致将恶意代码注入容器映像。

　　Google 已采取措施纠正该缺陷，禁止在 GKE 1.28 及更高版本中将 system：authenticated 组绑定到 cluster-admin 角色。该公司还建议用户不要将 system：authenticated 组绑定到任何 RBAC(基于角色的访问控制)角色，并检查其集群是否与该组相关联。

　　此外，Google 还已将检测规则集成到事件威胁检测中，并将预防性规则集成到政策控制器中。所有与这些群组绑定的 GKE 用户都已收到电子邮件通知，敦促他们查看其配置。

　　Orca 研究人员警告说，尽管 Google 进行了增强，但仍然可以将许多其他角色和权限分配给 system：authenticated 组。建议组织确保该组不拥有过多的权限，以避免潜在威胁。