西電李金庫教授團隊最新研究成果被系統安全頂級會議錄用

近日，西電網信院李金庫教授團隊的最新研究成果“Take Over theWhole Cluster: Attacking Kubernetes via Excessive Permissions of Third-party Applications”被ACM CCS 2023國際學術會議全文錄用。ACM CCS的全稱是ACM Conference on Computer and Communications Security，已有三十年的歷史，與IEEE S&P、USENIX Security、NDSS並列稱為系統安全領域的四大國際頂級學術會議，被中國電腦學會（CCF）列為A類會議。該會議收錄的論文代表著相關領域的最前沿學術研究成果，在業界具有廣泛而深遠的影響。

西電博士研究生楊男子為論文第一作者，導師李金庫教授為論文共同通訊作者。

作為當前最流行的容器編排系統，Kubernetes在很多公司和雲計算廠商中得到廣泛的應用。為擴展Kubernetes的集群功能和更好地管理集群，Kubernetes運作了很多第三方應用。第三方應用的安全性對於整個集群的安全至關重要。為此，論文針對Kubernetes中第三方應用的安全性展開系統化研究。研究結果發現，很多第三方應用被授予了其正常運作所不需要的許可權（稱為過度許可權），而一個攻擊者通過濫用第三方應用中的過度許可權實施惡意行為（稱為過度許可權攻擊），能夠從集群中的一個節點逃逸並控制整個集群。更糟糕的是，不同第三方應用的過度許可權可以被組合起來，讓多個不嚴重的問題變成一個真實的攻擊向量。

為系統化分析第三方應用的過度許可權問題，論文基於過度許可權濫用的不同路徑設計了三種攻擊策略。首先，一個攻擊者可以利用第三方應用運作在每個節點上的DaemonSet來直接獲取集群管理員令牌，實現集群範圍的特權逃逸；其次，攻擊者可以組合利用DaemonSet和同一個第三方應用中其他組件的許可權來獲取集群管理員令牌，實現逃逸；第三，攻擊者可以利用來自不同第三方應用中其他組件的許可權獲取集群管理員令牌，實現特權逃逸。

為展示在實際生産環境中過度許可權攻擊的嚴重性，論文分析了來自雲原生計算基金會CNCF的所有第三方應用項目。結果表明，在所有153個CNCF項目中，51個項目存在過度許可權和被惡意利用發起攻擊的安全風險，佔比33.3%。同時，在保證安全性的前提下，論文對國際四大公有雲計算廠商（谷歌、亞馬遜、微軟、阿里巴巴）提供的商用Kubernetes環境進行了測試。結果表明，這四大廠商的商用Kubernetes環境都存在著受到過度許可權攻擊的安全威脅。論文作者把發現的問題披露給了CNCF第三方應用供應商和四大雲計算廠商，得到了回復和確認。最終，論文獲得了8個新的CVE和來自谷歌公司的安全獎金。

該論文的發表，在一定程度上推動了系統安全領域，尤其是容器安全相關技術的發展。同時，它也向外界充分展示了西安電子科技大學在系統安全領域的最新研究成果，標誌著西安電子科技大學在該領域的研究得到了國際同行的進一步認可。

（圖文/西安電子科技大學）