Уязвимость в Kubernetes CSI Driver для NFS позволяет изменять и удалять каталоги на NFS-серверах

Недавно была обнаружена критическая уязвимость в Kubernetes Container Storage Interface (CSI) Driver для NFS, связанная с обходом проверки путей. Эта проблема может позволить злоумышленникам удалять или изменять каталоги на NFS-серверах, что ставит под угрозу целостность и доступность данных в кластерах, использующих данный драйвер.

Уязвимость возникает из-за недостаточной проверки параметра subDir в идентификаторах томов PersistentVolume, которые ссылаются на NFS CSI драйвер. В результате злоумышленник, имеющий возможность создавать PersistentVolumes, может использовать path traversal (обход пути) для доступа к каталогам вне разрешённой области, что приводит к потенциальному удалению или модификации критичных данных на сервере NFS.

Для организаций, управляющих внешней поверхностью атаки (External Attack Surface Management), эта уязвимость представляет серьёзную опасность. Kubernetes широко применяется для автоматизации развертывания контейнеризованных приложений, а NFS часто используется как общий файловый ресурс. Если злоумышленник получит возможность манипулировать данными на уровне хранилища, это может привести к нарушению работы приложений, потере данных и даже расширению доступа внутри инфраструктуры.

Особенно уязвимы к данной проблеме те кластеры, где пользователи имеют возможность создавать PersistentVolumes с использованием NFS CSI драйвера без должного контроля и валидации. Это подчёркивает важность строгого управления правами доступа и аудита операций с ресурсами хранения в Kubernetes.

Практические рекомендации для команд безопасности:

• Ограничьте права на создание PersistentVolumes: Убедитесь, что возможность создавать PersistentVolumes с использованием NFS CSI драйвера предоставлена только доверенным пользователям и сервисам.
• Обновите драйверы и компоненты Kubernetes: Следите за обновлениями и патчами, которые устраняют подобные уязвимости.
• Проводите аудит конфигураций и разрешений: Регулярно проверяйте настройки доступа к хранилищам и параметры томов, чтобы выявлять потенциальные риски.
• Используйте механизмы валидации параметров: Внедрите дополнительные проверки и фильтрацию параметров, таких как subDir, чтобы предотвратить обход путей.
• Мониторьте активность в кластере: Настройте системы мониторинга и оповещений для выявления подозрительных операций с томами и файловыми системами.
• Обучайте команды DevOps и безопасности: Повышайте осведомлённость о рисках, связанных с управлением хранилищами в Kubernetes, и лучших практиках их защиты.

Управление внешней поверхностью атаки в современных облачных и контейнерных инфраструктурах требует особого внимания к безопасности компонентов хранения данных. Уязвимости, подобные описанной, демонстрируют необходимость комплексного подхода к контролю и защите всех уровней стека Kubernetes, включая CSI драйверы и связанные с ними сервисы.