Google ออกแพตช์แก้ช่องโหว่บน Google Kubernetes Engine เสี่ยงต่อการถูกโจมตี
2024.01.04
Google Kubernetes Engine เสี่ยงต่อการถูกโจมตี Google ออกแพตช์ใหม่แก้ไขช่องโหว่
Google ออกแพตช์ช่องโหว่สำคัญบน Google Kubernetes Engine ทำให้ผู้โจมตีสามารถเข้ายึด Kubernetes Cluster ได้
ช่องโหว่ใหม่บน Google Kubernetes Engine (GKE) ถูกค้นพบโดยนักวิจัยทางด้านความมั่นคงปลอดภัยจาก Unit 42 ของ Palo Alto Network โดยเป็นปัญหาจากการใช้การตั้งค่าแบบเริ่มต้นของ FluentBit ซึ่งเป็น logging agent ของระบบ GKE ที่ทำงานแบบอัตโนมัติในทุกๆ Cluster และช่องโหว่อีกตัวหนึ่งคือการใช้งาน Default privileges บน Anthos Service Mesh (ASM) เมื่อผู้ไม่หวังดีทำการโจมตีผ่านช่องโหว่สองตัวนี้แบบ Chaining attack จะทำให้สามารถยกระดับสิทธิและเข้าควบคุม Kubernetes Cluster ได้
Google ได้ออกแพตช์ในการแก้ไขปัญหาแล้วผ่านทาง GCP-2023-047 โดยมีการปล่อยแพตช์ตั้งแต่วันที่ 14 ธันวาคมที่ผ่านมา อย่างไรก็ตาม ผู้ดูแลระบบจำเป็นจะต้องทำ Manual upgrade เองสำหรับ Anthos Service Mesh
Reference
https://siliconangle.com/2024/01/02/google-patches-two-vulnerabilities-left-kubernetes-engine-vulnerable-attack/
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05