בלוג

באג ב-Kubernetes Image Builder חושף VMs לגישה בלתי מורשית

באג ב-Kubernetes Image Builder חושף VMs לגישה בלתי מורשית

Q: מי זאת חברת Jetserver ומה הניסיון שלה בתחום אחסון האתרים?

חברת Jetserver, אשר הוקמה בשנת 2006, היא חברה המספקת שירותי רישום דומיינים, שירותי אחסון אתרים ושירותי ענן שונים, עם התאמה אישית לכל לקוח.החברה מורכבת מאנשי צוות בעלי רקע טכנולוגי מגוון, עם ניסיון בתחומים רבים כגון מחקר ופיתוח, תקשורת נתונים, סיסטם, אבטחת מידע, ועוד.Jetserver מספקת תמיכה טכנית באמצעות מענה אנושי שפעיל 24/7, ומערך תמיכה שהוקם על בסיס אהבת אדם ועזרה לזולת.הדבר החשוב ביותר ל-Jetserver הוא הצלחת לקוחותיה, ואספקת שירות מאובטח, מהיר, יציב, נגיש, וברמה הגבוהה ביותר.

Q: מה היתרונות של Jetserver לעומת חברות אחסון אתרים אחרות בישראל?

• וותק וניסיון - שנצברו לאורך שנות הפעילות של החברה מאז שנת 2006 • התאמה אישית וגמישות – חברת Jetserver מתגאה ביכולתה להתאים את שירותיה לכל לקוח ולכל צורך • תמיכה מעולה – שזמינה 24/7, וניתנת על ידי נציגים מקצועים ומנוסים בתחום • חוות שרתים בפריסה עולמית – מעל ל-20 חוות שרתים שפרוסות בנקודות מפתח ברחבי העולם, ומאפשרות הנגשת שירותים גלובלית • אבטחת מידע ועמידה בתקנים – חברת Jetserver עומדת בתקן ISO/IEC 27001, ומחויבת לשמור על הסטנדרטים הגבוהים ביותר של אבטחת מידע

Q: אילו שירותים Jetserver מציעה ללקוחות פרטיים ועסקיים?

Jetserver מציעה מגוון שירותי אחסון אתרים ושירותי ענן שמתאימים לכל סוגי הלקוחות – פרטיים ועסקיים כאחד, כאשר כל שירות מגיע במספר חבילות ורמות: שירותי אחסון אתרים:• אחסון ייעודי מהיר לוורדפרס (WordPress), ג’ומלה (Joomla) ומג’נטו (Magento)• אחסון אתרים שיתופי• תוכנית ריסלר (Reseller)• אחסון אתרים מבוסס אופטימיזציה במנועי חיפוש (SEO) שירותי ענן:• שרת וירטואלי פרטי (VPS) בהתאמה אישית, כולל אפשרות לניהול מלא על ידי Jetserver• סביבת Docker מנוהלת• אחסון NodeJS על-גבי שרת ענן פתרונות אבטחת מידע וסייבר:• חומת-אש בענן (Cloud Firewall)• פתרונות התאוששות מאסון ו-שירותי רישום ורכישת דומיינים בינלאומיים וישראליים (כרשם מוסמך על ידי איגוד האינטרנט הישראלי).

Q: אילו חבילות אחסון זמינות ב-Jetserver ומה ההבדלים ביניהן?

אנחנו מציעים מגוון רחב של חבילות אחסון אתרים:• שרת וירטואלי פרטי (VPS)• אחסון אתרים שיתופי• אחסון אתרים ריסלר (Reseller)• אחסון אתרים מהיר וורדפרס (WordPress), מג’נטו (Magento) ו-ג’ומלה (Joomla)• אחסון אתרים SEO באופן כללי, ההבדלים בין חבילות האחסון שלנו מתבטאים בשלושה מאפיינים עיקריים: סוג האתר לו האחסון מיועד, כמות המשאבים והתוספות לשרתים בחבילת האחסון (ואילו תוספים), ובמחירה של כל חבילה.

Q: האם Jetserver מציעה שירות לקוחות ותמיכה טכנית 24/7?

כן. Jetserver מציעה ללקוחותיה שירות לקוחות ותמיכה טכנית 24 שעות ביממה, 7 ימים בשבוע, על ידי נציגי תמיכה מנוסים ומוסמכים, בנוסף לתמיכה של צוות DevOps.

Q: האם Jetserver מספקת שירותי רישום דומיינים?

כן.Jetserver היא רשם דומיינים מוסמך על ידי איגוד האינטרנט הישראלי, ומספקת שירותי רישום דומיינים עולמיים וישראליים, בנוסף לחידוש, העברת, ניהול ואבטחת דומיינים.

Q: האם Jetserver מציעה התחייבות לזמינות (Uptime) גבוהה לאתרי לקוחות?

כחלק מהסכם תנאי השירות (SLA) שלנו, אנחנו מתחייבים לזמינות שרתים של 99.9% לכל הפחות, כלומר, עד 8 שעות השבתה בשנה בלבד (וגם זה יותר מדי).

Q: האם Jetserver מספקת גם שירותי גיבוי, שימוש ברשתות CDN, ותעודות SSL?

כן, כן, וכן. אנחנו מספקים שירותי גיבוי שונים לכל השרתים שלנו. השירותים כוללים גיבויים אוטומטיים וידניים, אחסון על שרתים מרוחקים, שימוש בתוכנת JetBackup, ושירותי התאוששות מאסון. אנחנו גם מאפשרים שימוש ברשתות CDN באמצעות השותפים שלנו – Cloudflate ו-Sucuri. כל חבילות אחסון האתרים שלנו כוללות תעודת SSL חינמית, ומאפשרות רכישת תעודת SSL לא חינמית (בתשלום נוסף).

פורסם ב 23-10-2024

שתי פרצות נמצאו ב-Kubernetes Image Builder, כלי שנועד לבניית תמונות מערכת (images, או אימג’ים) ב-Kubernetes, בעזרת מגוון מנהלי מכונות וירטואליות וקונטיינרים. הפרצות, הקיימות בגירסאות 0.1.37 ומטה של הכלי, מאפשרות גישה לא מורשית למכונות וירטאליות (VMs – Virtual Machines) שנבנו באמצעותו.

הפרצות מתקיימות בשל אישורי ברירת המחדל שנוצרים על ידי Image Builder בזמן יצירת תמונות המערכת. באמצעות שימוש באישורים אלה, תוקף פוטנציאלי יכול לקבל גישת SSH למכונה הוירטולית.

הפרצות התגלו ודווחו על ידי ניקולאי ריבניקאר (Nicolai Rybnikar) מחברת Rybnikar Enterprises GmbH. הן תוייגו כ-CVE-2024-9486, אשר קיבלה דירוג של 9.8 מתוך 10 בסולם CVSSv3 (קריטית); וכ-CVE-2024-9594, שקיבלה דירוג של 6.3 מתוך 10 בסולם CVSSv3 (בינונית).

הפרצות:

CVE-2024-9486 – פרצה זו משפיעה בעיקר על תמונות מערכת שנבנו עם הספקית Proxmox.
מכונות ויטואליות המבוססות על תמונות מערכת שנוצרו באמצעות שימוש בפלטפורמה של Proxmox אינן מבטלות את אישורי ברירת המחדל לאחר היווצרן של המכונות הוירטואליות. כפועל יוצא מזה, כל מי ששם ידיו על האישורים הללו, מקבל גישה למכונות הוירטואליות.

CVE-2024-9594 – הפרצה השניה מתייחסת לתמונות מערכת שנבנו באמצעות הספקיות Nutanix, Qemu ו-OVA. במקרה זה, אישורי ברירת המחדל כן מתבטלים לאחר שהמכונה הוירטואלית נוצרת. הפרצה מתקיימת רק במידה שלתוקף הייתה גישה למכונות הוירטואליות בהן נבנות תמונות המערכת, בזמן בנייתן. אם הייתה לו גישה, ואם הוא הספיק לנצל את הגישה הזאת (ואת החולשה של אישורי הגישה בקידוד נוקשה) כדי לבצע שינויים בתמונת המערכת בזמן הבנייה, אז ישנה פרצה.

איך לדעת אם המכונות הוירטואליות שלכם בסכנה?

בדיווח, צוות התגובה והביטחון של Kuberenetes ממליצים לבדוק קודם באיזו גירסה של Image Builer אתם משתמשים.
ניתן לבצע את הבדיקה לפי האופן בו התקנתם את Image Builder על המערכת שלכם.

להתקנות שבוצעו באמצעות שכפול מהמצבור (repository) של git:
<cd <local path to image builder repo make version

אם מדובר בהתקנה שבוצעה מקובץ tarball שהורד מהאינטרנט:
<cd <local path to install location grep -o v0\.[0-9.]* RELEASE.md | head -1

התקנות לקונטיינרים:
docker run --rm version
או:
podman run --rm version
או לפי התג של תמונת המערכת, שנראה כך (בתמונה מובא התג של תמונת מערכת רשמית):
registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.37

הערה: אמנם הדיווח מתייחס באופן ספציפי לפרצה הראשונה והקריטית יותר (CVE-2024-9486), אך הצעדים נכונים גם לפרצה השניה (CVE-2024-9594), כפי שניתן לראות בדיווח עליה.

אם אתם חושדים שהפרצה נוצלה על המכונות הוירטואליות שלכם, אתם יכולים לבדוק אם בוצעו כניסות דרך “חשבון” הבונה (builder) באמצעות הפקודה הבאה: last builder

כדי להגן על המכונות הוירטואליות שלכם:

1. עדכנו את Kubernetes Image Builder ל-גירסה 0.1.38 לפחות. החל מגירסה זו, לכל תמונת מערכת שנבנית מוקצית סיסמה אקראית, ולאחר סיום הבניה ה”חשבון”, יחד עם הסיסמה, מתבטלים.

2. יש להחליף תמונות מערכת פגיעות על מכונות ויטואליות בכאלה שנוצרו באמצעות גירסה 0.1.38 (לפחות).

3. אם איו ביכולתכם לבצע את שני הצעדים האלה, ניתן לבטל את “חשבון” הבונה (builder) ב-Kuberenetes Image Builder על מכונות וירטואליות בהן קיימת הפרצה:
usermod -L builder
זכרו שמדובר בצעד זמני בלבד.

שאלות נפוצות של Jetserver – כל מה שצריך לדעת

חברת Jetserver, אשר הוקמה בשנת 2006, היא חברה המספקת שירותי רישום דומיינים, שירותי אחסון אתרים ושירותי ענן שונים, עם התאמה אישית לכל לקוח.
החברה מורכבת מאנשי צוות בעלי רקע טכנולוגי מגוון, עם ניסיון בתחומים רבים כגון מחקר ופיתוח, תקשורת נתונים, סיסטם, אבטחת מידע, ועוד.
Jetserver מספקת תמיכה טכנית באמצעות מענה אנושי שפעיל 24/7, ומערך תמיכה שהוקם על בסיס אהבת אדם ועזרה לזולת.
הדבר החשוב ביותר ל-Jetserver הוא הצלחת לקוחותיה, ואספקת שירות מאובטח, מהיר, יציב, נגיש, וברמה הגבוהה ביותר.

• וותק וניסיון - שנצברו לאורך שנות הפעילות של החברה מאז שנת 2006

• התאמה אישית וגמישות – חברת Jetserver מתגאה ביכולתה להתאים את שירותיה לכל לקוח ולכל צורך

• תמיכה מעולה – שזמינה 24/7, וניתנת על ידי נציגים מקצועים ומנוסים בתחום

• חוות שרתים בפריסה עולמית – מעל ל-20 חוות שרתים שפרוסות בנקודות מפתח ברחבי העולם, ומאפשרות הנגשת שירותים גלובלית

• אבטחת מידע ועמידה בתקנים – חברת Jetserver עומדת בתקן ISO/IEC 27001, ומחויבת לשמור על הסטנדרטים הגבוהים ביותר של אבטחת מידע

Jetserver מציעה מגוון שירותי אחסון אתרים ושירותי ענן שמתאימים לכל סוגי הלקוחות – פרטיים ועסקיים כאחד, כאשר כל שירות מגיע במספר חבילות ורמות:

שירותי אחסון אתרים:
• אחסון ייעודי מהיר לוורדפרס (WordPress), ג’ומלה (Joomla) ומג’נטו (Magento)
• אחסון אתרים שיתופי
• תוכנית ריסלר (Reseller)
• אחסון אתרים מבוסס אופטימיזציה במנועי חיפוש (SEO)

שירותי ענן:
• שרת וירטואלי פרטי (VPS) בהתאמה אישית, כולל אפשרות לניהול מלא על ידי Jetserver
• סביבת Docker מנוהלת
• אחסון NodeJS על-גבי שרת ענן

פתרונות אבטחת מידע וסייבר:
• חומת-אש בענן (Cloud Firewall)
• פתרונות התאוששות מאסון

ו-שירותי רישום ורכישת דומיינים בינלאומיים וישראליים (כרשם מוסמך על ידי איגוד האינטרנט הישראלי).

אנחנו מציעים מגוון רחב של חבילות אחסון אתרים:
• שרת וירטואלי פרטי (VPS)
• אחסון אתרים שיתופי
• אחסון אתרים ריסלר (Reseller)
• אחסון אתרים מהיר וורדפרס (WordPress), מג’נטו (Magento) ו-ג’ומלה (Joomla)
• אחסון אתרים SEO

באופן כללי, ההבדלים בין חבילות האחסון שלנו מתבטאים בשלושה מאפיינים עיקריים: סוג האתר לו האחסון מיועד, כמות המשאבים והתוספות לשרתים בחבילת האחסון (ואילו תוספים), ובמחירה של כל חבילה.

כן.
Jetserver מציעה ללקוחותיה שירות לקוחות ותמיכה טכנית 24 שעות ביממה, 7 ימים בשבוע, על ידי נציגי תמיכה מנוסים ומוסמכים, בנוסף לתמיכה של צוות DevOps.

כן.
Jetserver היא רשם דומיינים מוסמך על ידי איגוד האינטרנט הישראלי, ומספקת שירותי רישום דומיינים עולמיים וישראליים, בנוסף לחידוש, העברת, ניהול ואבטחת דומיינים.

כחלק מהסכם תנאי השירות (SLA) שלנו, אנחנו מתחייבים לזמינות שרתים של 99.9% לכל הפחות, כלומר, עד 8 שעות השבתה בשנה בלבד (וגם זה יותר מדי).

כן, כן, וכן.

אנחנו מספקים שירותי גיבוי שונים לכל השרתים שלנו. השירותים כוללים גיבויים אוטומטיים וידניים, אחסון על שרתים מרוחקים, שימוש בתוכנת JetBackup, ושירותי התאוששות מאסון.

אנחנו גם מאפשרים שימוש ברשתות CDN באמצעות השותפים שלנו – Cloudflate ו-Sucuri.

כל חבילות אחסון האתרים שלנו כוללות תעודת SSL חינמית, ומאפשרות רכישת תעודת SSL לא חינמית (בתשלום נוסף).

השותפים שלנו