Er is een reeks zeer ernstige kwetsbaarheden in Kubernetes geïdentificeerd, die kunnen leiden tot uitvoering van code op afstand met verhoogde rechten op Windows-eindpunten binnen een Kubernetes-cluster. Kubernetes is een gratis en open source-systeem dat wordt gebruikt voor het automatiseren van de implementatie, schaling en beheer van containerapplicaties. Het project is oorspronkelijk ontworpen door Google en wordt momenteel onderhouden door de Cloud Native Computing Foundation.
De primaire kwetsbaarheid, aangeduid als CVE-2023-3676, werd ontdekt door Akamai-veiligheidsonderzoeker, Tomer Peled. Deze fout, samen met twee andere, CVE-2023-3893 en CVE-2023-3955 zijn verholpen met oplossingen uitgebracht op 23 augustus 2023.
Technische inzichten
De kwetsbaarheden komen voort uit onvoldoende invoeropschoning, met name in de Windows-specifieke implementatie van de Kubelet. Met name bij het verwerken van Pod-definities valideert of zuivert de software de gebruikersinvoer niet adequaat. Dankzij dit toezicht kunnen kwaadwillende gebruikers pods maken met omgevingsvariabelen en hostpaden die, wanneer ze worden verwerkt, kunnen leiden tot onbedoeld gedrag, waaronder escalatie van bevoegdheden. Een aanvaller met’apply’-rechten, die interactie met de Kubernetes API mogelijk maken, kan CVE-2023-3676 misbruiken om willekeurige code te injecteren die wordt uitgevoerd op externe Windows-machines met SYSTEEM-rechten.
Officieel advies en beperking
Een Kubernetes-beveiligingsadvies heeft de kwetsbaarheden bevestigd en patches geleverd voor getroffen versies van kubelet. Alle Kubernetes-versies onder 1.28 zijn kwetsbaar. Het advies beveelt aan om de meegeleverde patches toe te passen als de meest betrouwbare mitigatiemethode. Als er geen patches zijn, kunnen Kubernetes-beheerders het gebruik van Volume.Subpath uitschakelen om zich tegen dit beveiligingslek te beschermen. Bovendien kunnen Kubernetes-auditlogboeken worden gebruikt om potentiële misbruikpogingen te detecteren, waarbij pod-creatiegebeurtenissen met ingebedde PowerShell-opdrachten een sterke indicatie zijn van kwaadaardige activiteit.
De kwetsbaarheden, vooral CVE-2023-3676, vormen een aanzienlijke risico vanwege hun grote impact en gemakkelijke exploitatie. Hun reikwijdte is echter beperkt tot Windows-knooppunten, die niet zo gangbaar zijn in Kubernetes-implementaties. Het is absoluut noodzakelijk dat beheerders hun Kubernetes-clusters updaten naar de nieuwste versies of de aanbevolen maatregelen implementeren om mogelijke exploitatie te voorkomen.
