Pesquisadores de cibersegurança descobriram uma falha no Google Kubernetes Engine (GKE) que pode ser explorada por atores de ameaças com uma conta do Google para assumir o controle de um cluster Kubernetes. Estima-se que cerca de 250.000 clusters GKE ativos estejam suscetíveis a este vetor de ataque.

A falha “decorre de um provável equívoco generalizado de que o grupo ‘system:authenticated’ no Google Kubernetes Engine inclui apenas identidades verificadas e determinísticas, quando na verdade, inclui qualquer conta autenticada do Google (mesmo fora da organização)”.

O grupo “system:authenticated” é um grupo especial que inclui todas as entidades autenticadas, contando usuários humanos e contas de serviço. Como resultado, isso pode ter consequências graves quando os administradores inadvertidamente concedem a ele funções excessivamente permissivas.

Especificamente, um ator de ameaça externo com uma conta do Google poderia abusar dessa má configuração usando seu próprio token de portador OAuth 2.0 do Google para assumir o controle do cluster para exploração subsequente, como movimento lateral, mineração de criptomoedas, negação de serviço e roubo de dados sensíveis.

Para piorar a situação, essa abordagem não deixa um rastro de uma maneira que possa ser vinculada de volta à conta real do Gmail ou Google Workspace que obteve o token de portador OAuth.