Shock Media engineers vinden kritieke kwetsbaarheid in Rancher (CVE-2021-36782).

Engineers van Shock Media hebben een belangrijke kwetsbaarheid gevonden in Rancher. Rancher is software waarmee Kubernetes clusters beheerd kunnen worden. Middels misbruik van de kwetsbaarheid kan een read-only Rancher gebruiker beveiligingsmaatregelen omzeilen en zo administrator en zelfs root rechten te verkrijgen op de hosts. De kwetsbaarheid is na ontdekking direct op een verantwoorde manier gemeld bij Rancher, die snel een onderzoek gestart hebben en de kwetsbaarheid (CVE-2021-36782) hebben gepatched in Rancher versie 2.6.7 en 2.5.16.

Timo Feenstra

Information Security Officer

Het Managed App platform van Shock Media

Sinds begin vorig jaar beschikt Shock Media over een eigen Managed App platform. Dit container platform gebaseerd op Kubernetes is erop gericht om developers te ontlasten van de operations en applicaties eenvoudig te deployen en te schalen. De ervaring die onze DevOps engineers hebben met het inrichten van applicaties binnen een containerlandschap wordt door klanten erg gewaardeerd, maar ook onze sterke focus op security is een belangrijk argument voor ontwikkelaars om zich bij ons Managed App platform aan te sluiten. 

Privilege escalation kwetsbaarheid in Rancher

Tijdens een reguliere security review van het Managed App platform van Shock Media heeft Marco Stuurman, DevOps engineer bij Shock Media, een belangrijke kwetsbaarheid ontdekt in Rancher. Marco ontdekte dat een reguliere read-only gebruiker binnen Rancher meer informatie kon lezen dan zou moeten kunnen. Door de juiste informatie uit te lezen en op een specifieke wijze te misbruiken kan de gebruiker verhoogde rechten verkrijgen binnen het cluster en zelfs zogenaamde “privileged deployments” uitvoeren. Uiteindelijk is het mogelijk om middels de kwetsbaarheid administrator of zelfs root rechten te verkrijgen op de hosts en toegang te verkrijgen tot (informatie op) andere Kubernetes clusters.

Melding en afhandeling Rancher

De kwetsbaarheid is na ontdekking door twee andere engineers gevalideerd. Na validatie is de kwetsbaarheid op een verantwoorde en veilige manier, middels een versleutelde rapportage en Proof-of-Concept, gemeld bij Rancher. Rancher bevestigde de kwetsbaarheid snel en reageerde hierop adequaat door een onderzoek in te stellen. Volgens de ontwikkelaar van Rancher is de kwetsbaarheid aanwezig in de ondersteunde versies 2.5.15 en 2.6.6. De kwetsbaarheid, die CVE- nummer CVE-2021-36782 heeft gekregen heeft een CVSS score van 9.9 en wordt dus als zeer kritiek gezien. Op 19-08-2022 heeft Rancher een patch released (versie 2.6.7 en 2.5.16) waarin de kwetsbaarheid verholpen is. Meer informatie over de kwetsbaarheid en patch is te vinden op de Github pagina van Rancher en zal ook te vinden zijn op de Rancher Website.

Advies en oplossingen

Uiteraard hebben we ook zelf direct maatregelen getroffen de risico’s op misbruik van deze kwetsbaarheid op ons Managed App platform te beperken en hebben we de uitgebrachte patch toegepast. Om de kwetsbaarheid te verhelpen adviseren we ook andere beheerders om Rancher zo snel mogelijk te updaten naar versie 2.6.7 of 2.5.16. Daarnaast is het best practice om de toegang tot de Rancher beheer-interface zo veel mogelijk te beperken en alleen toegankelijk te maken voor vertrouwde beheerders.

Meer weten over ons Managed App platform?

Bent u benieuwd naar de voordelen en mogelijkheden om u aan te sluiten bij ons Managed App platform? Neemt dan eens gerust contact met ons op voor een vrijblijvende kennismaking!

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

Kubernetes meetup #2

Na het succes van onze vorige meetup was het afgelopen week weer tijd om samen te komen en de Kubernetes-community in het oosten van het land verder te versterken. Ook deze keer stond onze bijeenkomst in het teken van kennisdeling. Wederom openden we onze deuren voor iedereen die interesse heeft in Kubernetes!

Maak kennis met... Bouke!

Of je nu een potje darts wil spelen, je voetbalvaardigheden wil testen in speedsoccer of samen wil proosten tijdens de vrijdagmiddagborrel: deze vrolijke salestopper is altijd van de partij. Grote kans dat je hem via een van onze kanalen al wel eens hebt gesproken. In deze blog stel ik jullie graag voor aan: Bouke!

Shock Media Kerstfeest 2023

Het kerstfeest van Shock Media is altijd één van de hoogtepunten van het jaar. Ook afgelopen kerstborrel was het niet anders. Met een sfeervolle locatie, heerlijk eten en de nodige dansmoves. Het was weer een avond om niet te vergeten!