En serie alvorlige sårbarheter i Kubernetes er identifisert, noe som kan føre til ekstern kjøring av kode med forhøyede rettigheter på Windows-endepunkter i en Kubernetes-klynge. Kubernetes er et gratis og åpen kildekode-system som brukes til å automatisere distribusjon, skalering og administrasjon av containeriserte applikasjoner. Prosjektet ble opprinnelig designet av Google og vedlikeholdes for tiden av Cloud Native Computing Foundation.
The primær sårbarhet, utpekt som CVE-2023-3676, ble oppdaget av Akamai sikkerhetsforsker, Tomer Peled. Denne feilen, sammen med to andre, CVE-2023-3893 og CVE-2023-3955, har blitt adressert med rettelser utgitt 23. august 2023.
Teknisk innsikt
Sårbarhetene stammer fra utilstrekkelig sanering av input, spesielt i den Windows-spesifikke implementeringen av Kubelet. Nærmere bestemt, når du håndterer Pod-definisjoner, validerer eller renser ikke programvaren brukerinndata tilstrekkelig. Dette tilsynet lar ondsinnede brukere lage pods med miljøvariabler og vertsbaner som, når de behandles, kan føre til utilsiktet atferd, inkludert rettighetseskalering. En angriper med «apply»-rettigheter, som tillater interaksjon med Kubernetes API, kan utnytte CVE-2023-3676 til å injisere vilkårlig kode som vil bli utført på eksterne Windows-maskiner med SYSTEM-privilegier.
Offisiell rådgivning og redusering
Sårbarhetene, spesielt CVE-2023-3676, utgjør en betydelig risiko på grunn av deres høye innvirkning og enkle utnyttelse. Omfanget deres er imidlertid begrenset til Windows-noder, som ikke er like utbredt i Kubernetes-distribusjoner. Det er viktig for administratorer å oppdatere Kubernetes-klyngene sine til de nyeste versjonene eller implementere de anbefalte avgrensningene for å forhindre potensiell utnyttelse.