Engineers van Shock Media hebben een belangrijke kwetsbaarheid gevonden in Rancher. Rancher is software waarmee Kubernetes clusters beheerd kunnen worden. Middels misbruik van de kwetsbaarheid kan een read-only Rancher gebruiker beveiligingsmaatregelen omzeilen en zo administrator en zelfs root rechten te verkrijgen op de hosts. De kwetsbaarheid is na ontdekking direct op een verantwoorde manier gemeld bij Rancher, die snel een onderzoek gestart hebben en de kwetsbaarheid (CVE-2021-36782) hebben gepatched in Rancher versie 2.6.7 en 2.5.16.
Information Security Officer
Sinds begin vorig jaar beschikt Shock Media over een eigen Managed App platform. Dit container platform gebaseerd op Kubernetes is erop gericht om developers te ontlasten van de operations en applicaties eenvoudig te deployen en te schalen. De ervaring die onze DevOps engineers hebben met het inrichten van applicaties binnen een containerlandschap wordt door klanten erg gewaardeerd, maar ook onze sterke focus op security is een belangrijk argument voor ontwikkelaars om zich bij ons Managed App platform aan te sluiten.
Tijdens een reguliere security review van het Managed App platform van Shock Media heeft Marco Stuurman, DevOps engineer bij Shock Media, een belangrijke kwetsbaarheid ontdekt in Rancher. Marco ontdekte dat een reguliere read-only gebruiker binnen Rancher meer informatie kon lezen dan zou moeten kunnen. Door de juiste informatie uit te lezen en op een specifieke wijze te misbruiken kan de gebruiker verhoogde rechten verkrijgen binnen het cluster en zelfs zogenaamde “privileged deployments” uitvoeren. Uiteindelijk is het mogelijk om middels de kwetsbaarheid administrator of zelfs root rechten te verkrijgen op de hosts en toegang te verkrijgen tot (informatie op) andere Kubernetes clusters.
De kwetsbaarheid is na ontdekking door twee andere engineers gevalideerd. Na validatie is de kwetsbaarheid op een verantwoorde en veilige manier, middels een versleutelde rapportage en Proof-of-Concept, gemeld bij Rancher. Rancher bevestigde de kwetsbaarheid snel en reageerde hierop adequaat door een onderzoek in te stellen. Volgens de ontwikkelaar van Rancher is de kwetsbaarheid aanwezig in de ondersteunde versies 2.5.15 en 2.6.6. De kwetsbaarheid, die CVE- nummer CVE-2021-36782 heeft gekregen heeft een CVSS score van 9.9 en wordt dus als zeer kritiek gezien. Op 19-08-2022 heeft Rancher een patch released (versie 2.6.7 en 2.5.16) waarin de kwetsbaarheid verholpen is. Meer informatie over de kwetsbaarheid en patch is te vinden op de Github pagina van Rancher en zal ook te vinden zijn op de Rancher Website.
Uiteraard hebben we ook zelf direct maatregelen getroffen de risico’s op misbruik van deze kwetsbaarheid op ons Managed App platform te beperken en hebben we de uitgebrachte patch toegepast. Om de kwetsbaarheid te verhelpen adviseren we ook andere beheerders om Rancher zo snel mogelijk te updaten naar versie 2.6.7 of 2.5.16. Daarnaast is het best practice om de toegang tot de Rancher beheer-interface zo veel mogelijk te beperken en alleen toegankelijk te maken voor vertrouwde beheerders.
Bent u benieuwd naar de voordelen en mogelijkheden om u aan te sluiten bij ons Managed App platform? Neemt dan eens gerust contact met ons op voor een vrijblijvende kennismaking!
Hij is bijna 10 jaar geleden begonnen als student maar heeft zich ontwikkeld tot Head of Development. Hij is niet alleen een ervaren Developer met een talent voor analytisch programmeren, maar heeft ook bewezen handig te zijn in het compleet zelfstandig verbouwen van zijn eigen woning. Ik heb het natuurlijk over… Matthijs! In deze blog stel ik hem graag aan jullie voor.
Met zijn zeer brede kennis en expertise is onze Head of Support al ruim 9 jaar een zeer waardevol lid van ons team en staat hij altijd klaar om onze klanten en onze collega's te helpen bij het oplossen van hun problemen. Ik heb het natuurlijk over… Remon! In deze blog stel ik hem graag aan jullie voor.
Afgelopen vrijdag was het gelukkig weer zover, een nieuwe editie van onze zeer befaamde LAN-party! We hadden er allemaal enorm veel zin in en zijn dan ook druk bezig geweest met de voorbereidingen om er weer een onvergetelijke avond van te maken. En dat is zeker gelukt! Er is tot in de late uurtjes (of beter gezegd: vroege uurtjes) gegamed, gelachen, gegeten en genoten. Wie zal er deze keer vandoor zijn gegaan met de bekers?