近日,西电网信院李金库教授团队的最新研究成果“Take Over theWhole Cluster: Attacking Kubernetes via Excessive Permissions of Third-party Applications”被ACM CCS 2023国际学术会议全文录用。ACM CCS的全称是ACM Conference on Computer and Communications Security,已有三十年的历史,与IEEE S&P、USENIX Security、NDSS并列称为系统安全领域的四大国际顶级学术会议,被中国计算机学会(CCF)列为A类会议。该会议收录的论文代表着相关领域的最前沿学术研究成果,在业界具有广泛而深远的影响。
西电的博士研究生杨男子为论文的第一作者,导师李金库教授为论文的共同通讯作者。
作为当前最流行的容器编排系统,Kubernetes在很多公司和云计算厂商中得到广泛的应用。为扩展Kubernetes的集群功能和更好地管理集群,Kubernetes运行了很多第三方应用。第三方应用的安全性对于整个集群的安全至关重要。为此,论文针对Kubernetes中第三方应用的安全性展开系统化研究。研究结果发现,很多第三方应用被授予了其正常运行所不需要的权限(称为过度权限),而一个攻击者通过滥用第三方应用中的过度权限实施恶意行为(称为过度权限攻击),能够从集群中的一个节点逃逸并控制整个集群。更糟糕的是,不同第三方应用的过度权限可以被组合起来,让多个不严重的问题变成一个真实的攻击向量。
为系统化分析第三方应用的过度权限问题,论文基于过度权限滥用的不同路径设计了三种攻击策略。首先,一个攻击者可以利用第三方应用运行在每个节点上的DaemonSet来直接获取集群管理员令牌,实现集群范围的特权逃逸;其次,攻击者可以组合利用DaemonSet和同一个第三方应用中其它组件的权限来获取集群管理员令牌,实现逃逸;第三,攻击者可以利用来自不同第三方应用中其它组件的权限获取集群管理员令牌,实现特权逃逸。
为展示在实际生产环境中过度权限攻击的严重性,论文分析了来自云原生计算基金会CNCF的所有第三方应用项目。结果表明,在所有153个CNCF项目中,51个项目存在过度权限和被恶意利用发起攻击的安全风险,占比33.3%。同时,在保证安全性的前提下,论文对国际四大公有云计算厂商(谷歌、亚马逊、微软、阿里巴巴)提供的商用Kubernetes环境进行了测试。结果表明,这四大厂商的商用Kubernetes环境都存在着受到过度权限攻击的安全威胁。论文作者把发现的问题披露给了CNCF第三方应用供应商和四大云计算厂商,得到了回复和确认。最终,论文获得了8个新的CVE和来自谷歌公司的安全奖金。
该论文的发表,在一定程度上推动了系统安全领域,尤其是容器安全相关技术的发展。同时,它也向外界充分展示了西安电子科技大学在系统安全领域的最新研究成果,标志着西安电子科技大学在该领域的研究得到了国际同行的进一步认可。