Три взаимосвязанные уязвимости, обнаруженные в Kubernetes специалистами компании Akamai, могут использоваться для удаленного выполнения кода с повышенными привилегиями на Windows-эндпоинтах в кластере.
Уязвимости имеют идентификаторы CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955, и все они получили оценки 8,8 балла из 10 возможных по шкале CVSS. Исправления для этих багов были выпущены 23 августа 2023 года, так как Akamai сообщила разработчикам о проблемах еще в июле текущего года.
Известно, что ошибки затрагивают следующие версии Kubelet
- kubelet < v1.28.1;
- kubelet < v1.27.5;
- kubelet < v1.26.8;
- kubelet < v1.25.13;
- kubelet < v1.24.17.
CVE-2023-3676 позволяет злоумышленнику с привилегиями apply (позволяют взаимодействовать с Kubernetes API) внедрить произвольный код, который будет выполнен на удаленных Windows-машинах с привилегиями SYSTEM.
«Уязвимость позволяет удаленно выполнить код с привилегиями SYSTEM на всех эндпоинтах Windows в кластере Kubernetes, — рассказывают исследователи. — Для эксплуатации проблемы злоумышленнику необходимо использовать вредоносный YAML-файл в кластере».
Akamai опубликовала YAML-файл в качестве PoC-эксплоита и видео, демонстрирующее выполнение кода, которое можно увидеть ниже. При этом компания сообщает, что обнаружение CVE-2023-3676 привело к выявлению ряда других ошибок в Kubernetes, которые в совокупности получили идентификаторы CVE- 2023-3955 и CVE-2023-3893.
CVE-2023-3955 возникает в результате недостаточной очистки input’а, что позволяет спарсить специально созданную строку пути как параметр команды PowerShell, что приведет к выполнению команды.
В свою очередь проблема CVE-2023-3893, напротив, связана повышением привилегий в контексте прокси Container Storage Interface (CSI) и позволяет атакующему получить доступ административный доступ.
Так как эксплуатация багов требует низких привилегий и довольно проста, пользователям рекомендуется как можно скорее установить обновления. Эксперты Akamai предупреждают, что «существует высокая вероятность увидеть, как эти проблемы используются в атаках на организации».