Kubernetes Security Response Committee otkrio je dvije kritične ranjivosti u Kubernetes Image Builderu koje bi mogle omogućiti napadačima da dobiju root pristup virtuelnim mašinama (VM).
Nedostaci, identifikovani kao CVE-2024-9486 i CVE-2024-9594, potiču od upotrebe podrazumjevanih kredencijala tokom procesa izgradnje slike.
Ranjivosti Kubernetes Image Builder-a
CVE-2024-9486, ocijenjen kao kritičan sa CVSS ocjenom 9,8, posebno utiče na slike napravljene uz pomoć Proxmox provajdera.
Slike virtuelne mašine kreirane pomoću ovog provajdera ne uspevaju da onemoguće podrazumjevane kredencijale, potencijalno dozvoljavajući neovlašćeni pristup čvorovima koji koriste ove slike. Ova ranjivost predstavlja značajan rizik, jer napadači mogu iskoristiti ove kredencijale kako bi dobili potpunu kontrolu nad pogođenim VM-ovima.
CVE-2024-9594, ocijenjen kao srednji sa CVSS rezultatom 6,3, utiče na slike napravljene uz pomoć Nutanixa, OVA, QEMU ili sirovih dobavljača. Iako ove slike također koriste zadane kredencijale tokom procesa izgradnje, one su onemogućene po završetku.
Međutim, prozor ranjivosti postoji tokom procesa izgradnje slike, što omogućava napadaču da modifikuje sliku ako može doći do VM-a tokom izgradnje.
Klasteri koji pokreću slike VM-a izgrađene pomoću Kubernetes Image Builder verzije 0.1.37 ili starije su potencijalno ugrožene. Korisnici se pozivaju da provjere svoju verziju Image Builder-a koristeći priložene naredbe, kao što su make version
za git klonove ili docker run --rm <image pull spec> version
za izdanja slika kontejnera.
Kako bi ublažili prijetnju, Kubernetes Security Response Committee poziva korisnike da preduzmu sljedeće radnje:
- Nadogradite na Kubernetes Image Builder v0.1.38 ili noviji, koji uključuje potrebne popravke.
- Ponovo napravite sve pogođene slike koristeći ažuriranu verziju Image Builder-a.
- Ponovo rasporedite fiksne slike na bilo koju zahvaćenu VM
Kako bi ublažio prijetnju, Kubernetes Security Response Committee preporučuje ponovnu izgradnju svih zahvaćenih slika koristeći Image Builder verziju 0.1.38 ili noviju, što uključuje potrebne popravke. Za CVE-2024-9486, privremeno ublažavanje uključuje onemogućavanje “builder” naloga na pogođenim VM-ovima pomoću naredbe usermod -L builder
.
Nicolai Rybnikar iz Rybnikar Enterprises GmbH prijavio je ranjivosti na koje se pozabavio Marcus Noble iz projekta Image Builder. Korisnicima se savjetuje da poduzmu hitne mjere kako bi osigurali svoje Kubernetes okruženje i nadgledali bilo kakve znakove eksploatacije.
Organizacije koje koriste Kubernetes treba da daju prioritet rješavanju ovih ranjivosti kako bi spriječile potencijalni neovlašteni pristup i održale sigurnost svojih klastera.
Izvor: CyberSecurityNews