Un investigador de seguridad reportó recientemente un problema en AWS IAM Authenticator de Kubernetes, usado por el servicio Amazon Elastic Kubernetes Service (EKS). El investigador identificó un problema en la validación de parámetros en el plugin de autenticación cuando éste se configura para hacer uso de parámetro de plantilla “AccessKeyID” en el contenido de lastring de la petición.

El problema habría permitido a un atacante con cierto nivel de conocimientos escalar privilegios dentro de un cluster de Kubernetes.

¿Qué es EKS?

Según la documentación oficial de AWS, Amazon Elastic Kubernetes (EKS) se trata de un servicio administrado (esto es, por AWS, no por el cliente) que se puede utilizar “para ejecutar Kubernetes en AWS sin necesidad de instalar, operar ni mantener” un plano de control propio propio o nodos de Kubernetes.

El fallo causante de la vulnerabilidad se encuentra en una línea de código concreta del mecanismo de autenticación de IAM para Kubernetes:

El funcionamiento esperado del fragmento de código anterior es una validación de la capitalización del parámetro que se recibe, es decir, del uso de mayúsculas y minúsculas. Sin embargo, esta validación no se estaba llevando a cabo de la manera correcta, siendo posible enviar parámetros duplicados.

Este fallo en el proceso de autenticación que podría permitir a un atacante evadir las protecciones existentes frente a ataques en los que una transmisión de datos válidas es repetida de manera fraudulenta (replay attacks).

Fuente: https://blog.segu-info.com.ar/2022/07/vulnerabilidad-de-autenticacion-en-el.html