Kubernetes に一連の重大度の高い脆弱性が確認されており、昇格した権限でリモートでコードが実行される可能性があります。 Kubernetes クラスター内の Windows エンドポイント上。 Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、管理を自動化するために使用される無料のオープンソース システムです。このプロジェクトは元々 Google によって設計され、現在は クラウド ネイティブ コンピューティング財団によって維持されています。
CVE-2023-3676 は、によって発見されました。 Akamai のセキュリティ研究者、Tomer Peled 氏は次のように述べています。この欠陥は、他の 2 つの欠陥、CVE-2023-3893 および CVE-2023-3955 が解決されました。修正は 2023 年 8 月 23 日にリリースされました。
技術的洞察
この脆弱性は、特に Windows 固有の Kubelet 実装における入力のサニタイズが不十分であることが原因で発生します。 。具体的には、Pod 定義を処理するときに、ソフトウェアはユーザー入力を適切に検証またはサニタイズしません。この見落としにより、悪意のあるユーザーが環境変数とホスト パスを使用してポッドを作成し、処理されると権限昇格などの意図しない動作が引き起こされる可能性があります。 Kubernetes API との対話を可能にする「適用」権限を持つ攻撃者は、CVE-2023-3676 を悪用して、SYSTEM 権限を持つリモート Windows マシンで実行される任意のコードを挿入する可能性があります。
公式勧告と緩和策
A Kubernetes セキュリティ アドバイザリー は脆弱性を確認し、影響を受けるバージョンの kubelet にパッチを提供しました。 1.28 より前のすべての Kubernetes バージョンには脆弱性があります。アドバイザリでは、最も信頼性の高い軽減方法として、提供されたパッチを適用することを推奨しています。パッチが適用されていない場合、Kubernetes 管理者はこの脆弱性から保護するために Volume.Subpath の使用を無効にすることができます。さらに、Kubernetes 監査ログを利用して、潜在的な悪用の試みを検出することができます。埋め込み PowerShell コマンドを含むポッド作成イベントは、悪意のあるアクティビティの強力な兆候です。
この脆弱性、特に CVE-2023-3676 は、重大な問題を引き起こします。大きな影響力と悪用の容易さによるリスク。ただし、その範囲は Windows ノードに限定されており、Kubernetes デプロイメントではそれほど普及していません。管理者は、潜在的な悪用を防ぐために、Kubernetes クラスターを最新バージョンに更新するか、推奨される緩和策を実装することが不可欠です。
