9,8 баллов угрозы безопасности
Критическая уязвимость в Kubernetes Image Builder открывает злоумышленникам доступ к узлам виртуализации с правами root – фактическими, административными. Баг под индексом CVE-2024-9486 получил оценку 9,8 балла по шкале CVSS. Как выясняется, при использовании Image Builder для формирования образов высвечиваются «заводские» реквизиты доступа.
Образы виртуальных машин, созданные с использованием платформы виртуализации Proxmox, не деактивируют эти реквизиты, что открывает возможность для доступа к ним с максимальными привилегиями через SSH.
Кластеры Kubernetes данная уязвимость затрагивает только в том случае, если использовалась комбинация Image Builder и Proxmox.
В качестве промежуточной меры рекомендуется отключить аккаунты, осуществляющие сборку виртуальных машин. Для полного решения проблемы потребуется пересобрать проблемные образы, используя обновленную версию Image Builder (0.1.38), которая заменяет предустановленные реквизиты случайно сгенерированными паролями, которые функционируют только в процессе сборки образа. По окончании процесса аккаунт, осуществляющий сборку, отключается.
И дополнительный баг
Обновление 0.1.38 также устраняет еще одну, менее серьезную уязвимость, которая, однако, напрямую связана с первой. Баг CVE-2024-9594 также обнажает «заводские» реквизиты доступа, когда образы виртуальных машин созданы с помощью поставщиков Nutanix, OVA, QEMU или raw.
Эта уязвимость получила только 6,3 балла по шкале CVSS, поскольку для ее эксплуатации злоумышленнику потребуется сперва получить доступ к виртуальной машине, на которой осуществляется сборка образов, и успеть внести cвои изменения в тот момент, когда сборка образов производилась непосредственно.
«Kubernetes – сложная экосистема, отнюдь не неуязвимая перед ошибками программистов, тем более, что в основе – открытый код, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – К сожалению, даже в самых зрелых и проверенных платформах случаются «детские» ошибки, такие как вшитые логины-пароли, отсутствие проверки и очистки пользовательского ввода и так далее. Насколько мне известно, эпизодов злонамеренной эксплуатации этих двух уязвимостей пока нет, но, скорее всего, ждать их долго не придется».
Уязвимость обнаружил глава компании Rybnikar Enterprises Николай Рыбникар (Nicolai Rybnikar).