Стандартные установки Kubernetes были уязвимы к фатальной уязвимости, которая позволяла злоумышленникам удаленно выполнять код с повышенными привилегиями.
Исследователи Акамай обнаруженный Эта ошибка, которая впоследствии была исправлена, выявила то, что теперь известно как «недостаточная очистка входных данных в плагине внутридеревьного хранилища», ошибка, отслеживаемая как CVE-2023-5588.
Уровень серьезности — 7.2 и затрагивает все версии Kubelet, включая 1.8.0 и новее.
Множественные уязвимости
«Эта уязвимость позволяет удаленно выполнять код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes», — пояснил Акамай. «Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить к кластеру вредоносные файлы YAML.
Пользователь, имеющий возможность создавать модули и постоянные тома на узлах Windows, может получить права администратора на этих узлах, пояснил Kubernetes. GitHub. Потенциально это может позволить им полностью взять на себя управление всеми узлами Windows в кластере.
Уязвимость безопасности была устранена в середине ноября прошлого года. Поэтому убедитесь, что ваш kubelet имеет одну из этих версий:
v1.28.4 v1.27.8 v1.26.11 v1.25.16
В сентябре 2023 года исследователи Akamai обнаружили аналогичную уязвимость — уязвимость внедрения команд, которую можно было использовать с помощью вредоносного YAML-файла в кластере. Исследователи объяснили, что именно эта ошибка, которая теперь отслеживается как CVE-2023-3676 и имеет уровень серьезности 8,8, проложила путь к сегодняшним выводам.
«Отсутствие очистки параметра subPath в файлах YAML, который создает модули с томами, открывает возможность вредоносного внедрения», — сказали они. «Это был первоначальный вывод, но в конце исследования мы заметили потенциальное место в коде, которое выглядело так, как будто оно могло привести к еще одной уязвимости внедрения инструкций. После нескольких попыток нам удалось добиться аналогичного результата».
Для предприятий проверка YAML-файлов конфигурации Kubernetes «критически важна», поскольку очистка ввода «отсутствует в некоторых областях кода внутри самого Kubernetes».
Больше от TechRadar Pro
