Обнаруженные в Kubernetes три взаимосвязанных уязвимости высокой степени безопасности могут быть использованы для достижения удаленного выполнения кода с повышенными привилегиями на конечных точках Windows в кластере.
Проблемы, отслеживаемые как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955, имеют оценку CVSS 8,8 и влияют на все среды Kubernetes с узлами Windows. Исправления уязвимостей были выпущены 23 августа 2023 года после ответственного раскрытия информации Akamai 13 июля 2023 года.
"Уязвимость позволяет удаленно выполнять код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes", - сказал исследователь безопасности Akamai Томер Пелед в техническом отчете, опубликованном в Hacker News. "Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносный файл YAML к кластеру".
Amazon Web Services (AWS), Google Cloud и Microsoft Azure выпустили рекомендации по исправлению ошибок, которые влияют на следующие версии Kubelet -
"CVE-2023-3676 требует низких привилегий и, следовательно, устанавливает низкую планку для злоумышленников: все, что им нужно иметь, - это доступ к узлу и применение привилегий", - отметил Пелед.
Уязвимость, наряду с CVE-2023-3955, возникает в результате недостаточной очистки входных данных, что позволяет анализировать специально созданную строку пути в качестве параметра команды PowerShell, что эффективно приводит к выполнению команды.
CVE-2023-3893, с другой стороны, относится к случаю повышения привилегий в прокси-сервере Container Storage Interface (CSI), который позволяет злоумышленнику получить доступ администратора на узле.
"Повторяющейся темой среди этих уязвимостей является ошибка в обработке входных данных при переносе Kubelet на Windows", - подчеркнул АРМО Kubernetes security platform в прошлом месяце.
"В частности, при обработке определений Pod программное обеспечение не может надлежащим образом проверять или очищать вводимые пользователем данные. Этот недосмотр позволяет злоумышленникам создавать модули с переменными среды и путями к хостам, которые при обработке приводят к нежелательному поведению, такому как повышение привилегий".
Проблемы, отслеживаемые как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955, имеют оценку CVSS 8,8 и влияют на все среды Kubernetes с узлами Windows. Исправления уязвимостей были выпущены 23 августа 2023 года после ответственного раскрытия информации Akamai 13 июля 2023 года.
"Уязвимость позволяет удаленно выполнять код с системными привилегиями на всех конечных точках Windows в кластере Kubernetes", - сказал исследователь безопасности Akamai Томер Пелед в техническом отчете, опубликованном в Hacker News. "Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо применить вредоносный файл YAML к кластеру".
Amazon Web Services (AWS), Google Cloud и Microsoft Azure выпустили рекомендации по исправлению ошибок, которые влияют на следующие версии Kubelet -
- kubelet < версия 2.8.1
- kubelet < версия 2.7.5
- kubelet < версия v1.26.8
- kubelet < версии 25.13 и
- kubelet < версия v1.24.17
"CVE-2023-3676 требует низких привилегий и, следовательно, устанавливает низкую планку для злоумышленников: все, что им нужно иметь, - это доступ к узлу и применение привилегий", - отметил Пелед.
Уязвимость, наряду с CVE-2023-3955, возникает в результате недостаточной очистки входных данных, что позволяет анализировать специально созданную строку пути в качестве параметра команды PowerShell, что эффективно приводит к выполнению команды.
CVE-2023-3893, с другой стороны, относится к случаю повышения привилегий в прокси-сервере Container Storage Interface (CSI), который позволяет злоумышленнику получить доступ администратора на узле.
"Повторяющейся темой среди этих уязвимостей является ошибка в обработке входных данных при переносе Kubelet на Windows", - подчеркнул АРМО Kubernetes security platform в прошлом месяце.
"В частности, при обработке определений Pod программное обеспечение не может надлежащим образом проверять или очищать вводимые пользователем данные. Этот недосмотр позволяет злоумышленникам создавать модули с переменными среды и путями к хостам, которые при обработке приводят к нежелательному поведению, такому как повышение привилегий".
