Были обнародованы подробности об исправленной уязвимости высокой степени серьезности в Kubernetes, которая при определенных обстоятельствах может позволить злоумышленнику осуществлять удаленное выполнение кода с повышенными привилегиями.
"Уязвимость позволяет выполнять удаленный код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes", - сказал исследователь безопасности Akamai Томер Пелед. "Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносные файлы YAML к кластеру".
Отслеживаемый как CVE-2023-5528 (оценка CVSS: 7.2), недостаток затрагивает все версии kubelet, включая версию 1.8.0 и после нее. Она была устранена в рамках обновлений, выпущенных 14 ноября 2023 года, в следующих версиях -
Успешное использование уязвимости может привести к полному захвату всех узлов Windows в кластере. Стоит отметить, что другой набор аналогичных недостатков был ранее раскрыт компанией web infrastructure в сентябре 2023 года.
Проблема связана с использованием "небезопасного вызова функции и отсутствием очистки пользовательского ввода" и связана с функцией под названием Тома Kubernetes, специально использующей тип тома, известный как локальные тома, которые позволяют пользователям монтировать разделы диска в pod путем указания или создания PersistentVolume.
"При создании модуля, включающего локальный том, служба kubelet (в конечном итоге) получит доступ к функции MountSensitive ()", - объяснил Пелед. "Внутри нее есть вызов из командной строки 'exec.command', который создает символическую ссылку между расположением тома на узле и расположением внутри модуля".
Это обеспечивает лазейку, которой злоумышленник может воспользоваться, создав PersistentVolume со специально созданным параметром path в файле YAML, который запускает внедрение команды и выполнение с помощью разделителя команд "&&".
"Стремясь исключить возможность внедрения, команда Kubernetes решила удалить вызов cmd и заменить его встроенной функцией GO, которая будет выполнять ту же операцию "os.Символическая ссылка () ", - сказал Пелед о введенном исправлении.
Раскрытие связано с критическим недостатком безопасности, обнаруженным в устаревшей камере Zhejiang Uniview ISC модели 2500-S (CVE-2024-0778, оценка CVSS: 9,8). Злоумышленники используют ее для удаления варианта ботнета Mirai под названием NetKiller, инфраструктура которого частично совпадает с другой ботнетом под названием Condi.
"Исходный код ботнета Condi был публично опубликован на Github в период с 17 августа по 12 октября 2023 года", - сказал Акамаи. "Учитывая, что исходный код Condi доступен уже несколько месяцев, вполне вероятно, что другие субъекты угрозы [...] используют его".
"Уязвимость позволяет выполнять удаленный код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes", - сказал исследователь безопасности Akamai Томер Пелед. "Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносные файлы YAML к кластеру".
Отслеживаемый как CVE-2023-5528 (оценка CVSS: 7.2), недостаток затрагивает все версии kubelet, включая версию 1.8.0 и после нее. Она была устранена в рамках обновлений, выпущенных 14 ноября 2023 года, в следующих версиях -
- kubelet v1.28.4
- kubelet v1.27.8
- kubelet v1.26.11 и
- kubelet v1.25.16
Успешное использование уязвимости может привести к полному захвату всех узлов Windows в кластере. Стоит отметить, что другой набор аналогичных недостатков был ранее раскрыт компанией web infrastructure в сентябре 2023 года.
Проблема связана с использованием "небезопасного вызова функции и отсутствием очистки пользовательского ввода" и связана с функцией под названием Тома Kubernetes, специально использующей тип тома, известный как локальные тома, которые позволяют пользователям монтировать разделы диска в pod путем указания или создания PersistentVolume.
"При создании модуля, включающего локальный том, служба kubelet (в конечном итоге) получит доступ к функции MountSensitive ()", - объяснил Пелед. "Внутри нее есть вызов из командной строки 'exec.command', который создает символическую ссылку между расположением тома на узле и расположением внутри модуля".
Это обеспечивает лазейку, которой злоумышленник может воспользоваться, создав PersistentVolume со специально созданным параметром path в файле YAML, который запускает внедрение команды и выполнение с помощью разделителя команд "&&".
"Стремясь исключить возможность внедрения, команда Kubernetes решила удалить вызов cmd и заменить его встроенной функцией GO, которая будет выполнять ту же операцию "os.Символическая ссылка () ", - сказал Пелед о введенном исправлении.
Раскрытие связано с критическим недостатком безопасности, обнаруженным в устаревшей камере Zhejiang Uniview ISC модели 2500-S (CVE-2024-0778, оценка CVSS: 9,8). Злоумышленники используют ее для удаления варианта ботнета Mirai под названием NetKiller, инфраструктура которого частично совпадает с другой ботнетом под названием Condi.
"Исходный код ботнета Condi был публично опубликован на Github в период с 17 августа по 12 октября 2023 года", - сказал Акамаи. "Учитывая, что исходный код Condi доступен уже несколько месяцев, вполне вероятно, что другие субъекты угрозы [...] используют его".
