Vulnerabilidad en la base de datos de Conjur Postgres con un puerto abierto en Conjur OSS Helm Chart en un entorno Kubernetes (CVE-2020-4062)

En Conjur OSS Helm Chart versiones anteriores a 2.0.0, una vulnerabilidad crítica recientemente identificada resultó en la instalación de la base de datos de Conjur Postgres con un puerto abierto. Esto permite a un atacante conseguir acceso completo de lectura y escritura a la base de datos de Conjur Postgres, incluyendo el aumento de los privilegios del atacante para asumir el control total. Un actor malicioso que conoce la dirección IP y el número de puerto de la base de datos de Postgres y tiene acceso al clúster de Kubernetes donde se ejecuta Conjur puede conseguir acceso completo de lectura y escritura a la base de datos de Postgres. Esto permite al atacante escribir una política que permita el acceso total para recuperar cualquier secreto. Este Helm chart es un método para instalar Conjur OSS en un entorno Kubernetes. Por lo tanto, los sistemas afectados son solo sistemas Conjur OSS que se implementaron usando este gráfico. Otras implementaciones, incluidas Docker y CyberArk Dynamic Access Provider (DAP), no están afectadas. Para remediar esta vulnerabilidad, clone el último Helm Chart y siga las instrucciones de actualización. Si no es capaz de remediar completamente esta vulnerabilidad de inmediato, puede mitigar algunos de los riesgos asegurándose de que Conjur OSS se implemente en un clúster o espacio de nombres Kubernetes aislado. El término "isolated" se refiere a: - No se están ejecutando otras cargas de trabajo además de Conjur OSS y su base de datos de backend en ese clúster y espacio de nombres de Kubernetes. - El acceso de Kubernetes y helm al clúster y espacio de nombres está limitado a los administradores de seguridad por medio del Control de Acceso basado en Roles (RBAC)