Μια κρίσιμη ευπάθεια στο Kubernetes θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση SSH σε μια εικονική μηχανή που εκτελεί μια εικόνα που δημιουργήθηκε με το έργο Kubernetes Image Builder.
Το Kubernetes είναι μια πλατφόρμα ανοιχτού κώδικα που βοηθά στην αυτοματοποίηση της ανάπτυξης, της κλίμακας και της λειτουργίας εικονικών κοντέινερ – ελαφριά περιβάλλοντα για την εκτέλεση εφαρμογών.
Με το Kubernetes Image Builder, οι χρήστες μπορούν να δημιουργήσουν εικόνες εικονικής μηχανής (VM) για διάφορους παρόχους Cluster API (CAPI), όπως Proxmox ή Nutanix, που εκτελούν το περιβάλλον Kubernetes. Αυτά τα VM στη συνέχεια χρησιμοποιούνται για τη δημιουργία κόμβων (διακομιστές) που γίνονται μέρος ενός συμπλέγματος Kubernetes.
Σύμφωνα με α συμβουλευτική για την ασφάλεια στα φόρουμ της κοινότητας Kubernetes, η κρίσιμη ευπάθεια επηρεάζει τις εικόνες VM που έχουν δημιουργηθεί με τον πάροχο Proxmox στην έκδοση 0.1.37 του Image Builder ή παλαιότερη.
Το ζήτημα παρακολουθείται επί του παρόντος ως CVE-2024-9486 και συνίσταται στη χρήση προεπιλεγμένων διαπιστευτηρίων που ενεργοποιήθηκαν κατά τη διαδικασία δημιουργίας εικόνας και δεν απενεργοποιήθηκαν στη συνέχεια.
Ένας παράγοντας απειλής που το γνωρίζει αυτό θα μπορούσε να συνδεθεί μέσω μιας σύνδεσης SSH και να χρησιμοποιήσει αυτά τα διαπιστευτήρια για να αποκτήσει πρόσβαση με δικαιώματα root σε ευάλωτα VM.
Η λύση είναι να δημιουργήσετε ξανά τις επηρεαζόμενες εικόνες VM χρησιμοποιώντας Kubernetes Image Builder έκδοση 0.1.38 ή μεταγενέστερη, η οποία ορίζει έναν τυχαία δημιουργημένο κωδικό πρόσβασης κατά τη διαδικασία δημιουργίας και απενεργοποιεί επίσης τον προεπιλεγμένο λογαριασμό “δημιουργός” μετά την ολοκλήρωση της διαδικασίας.
Εάν η αναβάθμιση δεν είναι δυνατή αυτήν τη στιγμή, μια προσωρινή λύση είναι να απενεργοποιήσετε τον λογαριασμό του δημιουργού χρησιμοποιώντας την εντολή:
usermod -L builder
Περισσότερες πληροφορίες σχετικά με τον μετριασμό και τον τρόπο ελέγχου εάν το σύστημά σας επηρεάζεται είναι διαθέσιμες στο αυτή τη σελίδα GitHub.
Το ενημερωτικό δελτίο προειδοποιεί επίσης ότι το ίδιο πρόβλημα υπάρχει για εικόνες που έχουν κατασκευαστεί με παρόχους Nutanix, OVA, QEMU ή ακατέργαστων προϊόντων, αλλά έχει βαθμολογία μεσαίας σοβαρότητας λόγω πρόσθετων απαιτήσεων για επιτυχή εκμετάλλευση. Η ευπάθεια αναγνωρίζεται πλέον ως CVE-2024-9594.
Συγκεκριμένα, το ελάττωμα μπορεί να εκμεταλλευτεί μόνο κατά τη διαδικασία κατασκευής και απαιτεί από έναν εισβολέα να αποκτήσει πρόσβαση στο VM που δημιουργεί εικόνα και να εκτελέσει ενέργειες για να διατηρηθούν τα προεπιλεγμένα διαπιστευτήρια, επιτρέποντας έτσι μελλοντική πρόσβαση στο VM.
Η ίδια σύσταση επιδιόρθωσης και μετριασμού ισχύει για το CVE-2024-9594.
VIA: bleepingcomputer.com