Uma série de vulnerabilidades de alta gravidade no Kubernetes foi identificada, o que pode levar à execução remota de código com privilégios elevados em endpoints do Windows em um cluster Kubernetes. Kubernetes é um sistema gratuito e de código aberto usado para automatizar a implantação, o escalonamento e o gerenciamento de aplicativos em contêineres. O projeto foi originalmente desenvolvido pelo Google e atualmente é mantido pela Cloud Native Computing Foundation.
O vulnerabilidade primária, designada como CVE-2023-3676, foi descoberto por Pesquisador de segurança da Akamai, Tomer Peled. Essa falha, junto com outras duas, CVE-2023-3893 e CVE-2023-3955, foram resolvidos com correções lançadas em 23 de agosto de 2023.
Insights técnicos
As vulnerabilidades resultam de limpeza de entrada insuficiente, especialmente na implementação específica do Windows do Kubelet. Especificamente, ao lidar com definições de pod, o software não valida ou higieniza adequadamente as entradas do usuário. Essa supervisão permite que usuários mal-intencionados criem pods com variáveis de ambiente e caminhos de host que, quando processados, podem levar a comportamentos não intencionais, incluindo escalonamento de privilégios. Um invasor com privilégios de’aplicação’, que permite a interação com a API Kubernetes, pode explorar CVE-2023-3676 para injetar código arbitrário que será executado em máquinas Windows remotas com privilégios SYSTEM.
Aconselhamento e mitigação oficial
Um Aviso de segurança do Kubernetes confirmou as vulnerabilidades e forneceu patches para versões afetadas do kubelet. Todas as versões do Kubernetes abaixo de 1.28 são vulneráveis. O comunicado recomenda a aplicação dos patches fornecidos como o método de mitigação mais confiável. Na ausência de correção, os administradores do Kubernetes podem desabilitar o uso de Volume.Subpath para se proteger contra esta vulnerabilidade. Além disso, os logs de auditoria do Kubernetes podem ser utilizados para detectar possíveis tentativas de exploração, com eventos de criação de pod contendo comandos PowerShell incorporados sendo uma forte indicação de atividade maliciosa.
As vulnerabilidades, especialmente CVE-2023-3676, apresentam um impacto significativo. risco devido ao seu alto impacto e facilidade de exploração. No entanto, seu escopo é limitado aos nós do Windows, que não são tão predominantes nas implantações do Kubernetes. É fundamental que os administradores atualizem seus clusters Kubernetes para as versões mais recentes ou implementem as mitigações recomendadas para evitar possíveis explorações.
