Odkryto poważną lukę w zabezpieczeniach programu Kubernetes Image Builder, która, jeśli zostanie skutecznie wykorzystana, może w pewnych okolicznościach umożliwić uzyskanie dostępu do konta root.
Luka w zabezpieczeniach oznaczona numerem CVE-2024-9486 (wynik CVSS: 9,8) została naprawiona w wersji 0.1.38. Twórcy projektu podziękowali Nicolaiowi Rybnikarowi za odkrycie i zgłoszenie luki w zabezpieczeniach.
„Odkryto problem z bezpieczeństwem w Kubernetes Image Builder, gdzie domyślne dane uwierzytelniające są włączane podczas procesu tworzenia obrazu” — powiedział Joel Smith z Red Hat w alercie.
„Ponadto obrazy maszyn wirtualnych zbudowane przy użyciu dostawcy Proxmox nie wyłączają tych domyślnych poświadczeń, a węzły korzystające z powstałych obrazów mogą być dostępne za pośrednictwem tych domyślnych poświadczeń. Poświadczenia te mogą być używane do uzyskania dostępu root”.
Należy jednak pamiętać, że luka ta dotyczy wyłącznie klastrów Kubernetes, których węzły korzystają z obrazów maszyn wirtualnych (VM) utworzonych za pomocą projektu Image Builder przy użyciu dostawcy Proxmox.
Jako tymczasowe środki zaradcze zalecono wyłączenie konta buildera na dotkniętych maszynach wirtualnych. Użytkownikom zaleca się również odbudowanie dotkniętych obrazów przy użyciu stałej wersji Image Builder i ponowne wdrożenie ich na maszynach wirtualnych.
Poprawka wprowadzona przez zespół Kubernetes pomija domyślne poświadczenia na rzecz losowo generowanego hasła, które jest ustawione na czas kompilacji obrazu. Ponadto konto budowniczego jest wyłączane na końcu procesu kompilacji obrazu.
Wersja 0.1.38 programu Kubernetes Image Builder rozwiązuje również powiązany problem (CVE-2024-9594, wynik CVSS: 6,3) dotyczący domyślnych poświadczeń podczas tworzenia obrazów przy użyciu dostawców Nutanix, OVA, QEMU lub RAW.
Rozwój sytuacji nastąpił po tym, jak firma Microsoft wydała poprawki po stronie serwera dla trzech luk oznaczonych jako krytyczne: Dataverse, Imagine Cup i Power Platform, które mogą doprowadzić do eskalacji uprawnień i ujawnienia informacji.
CVE-2024-38139 (wynik CVSS: 8,7) — Nieprawidłowe uwierzytelnianie w programie Microsoft Dataverse umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci
CVE-2024-38204 (wynik CVSS: 7,5) – Nieprawidłowa kontrola dostępu w Imagine Cup umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci
CVE-2024-38190 (wynik CVSS: 8,6) — Brak autoryzacji w Power Platform umożliwia niezweryfikowanemu atakującemu przeglądanie poufnych informacji za pośrednictwem wektora ataku sieciowego
Nastąpiło to również po ujawnieniu krytycznej luki w zabezpieczeniach wyszukiwarki korporacyjnej typu open source Apache Solr (CVE-2024-45216, wynik CVSS: 9,8), która może umożliwić ominięcie uwierzytelniania w podatnych na atak przypadkach.