В Kubernetes исправлена критическая уязвимость, позволяющая получить несанкционированный SSH-доступ к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.
С помощью Kubernetes Image Builder пользователи могут создавать образы виртуальных машин (ВМ) для различных поставщиков кластерных API (CAPI), таких как Proxmox или Nutanix, которые работают в среде Kubernetes. Эти ВМ затем используются для создания узлов (серверов), которые становятся частью кластера Kubernetes.
Согласно опубликованному бюллетеню безопасности, критический баг получил идентификатор CVE-2024-9486 (9,8 балла по шкале CVSS) и затрагивает образы ВМ, созданные с помощью Proxmox на Image Builder версии 0.1.37 или более ранних.
Суть бага банальна и кроется в использовании учетных данных по умолчанию, которые активны в процессе создания образа, но не отключаются впоследствии.
Злоумышленник, которому известно о проблеме, может подключиться через SSH и использовать учетные данные по умолчанию для получения root-доступа к уязвимым виртуальным машинам.
Отмечается, что уязвимость проявляется и для образов, созданных с помощью Nutanix, OVA, QEMU и raw, однако в этих случаях уязвимость считается менее серьезной, так как для успешной эксплуатации потребуется выполнить ряд дополнительных условий, а эксплуатация возможна только во время сборки. В этом случае баг отслеживается как CVE-2024-9594 (6,3 балла по шкале CVSS).
Чтобы устранить уязвимость, потребуется пересобрать затронутые образы с помощью Kubernetes Image Builder версии 0.1.38 или более поздней, которая устанавливает случайно сгенерированный пароль в процессе сборки, а также отключает учетную запись builder по умолчанию после завершения процесса.
Также временем решением проблемы может стать отключение учетной записи builder с помощью команды usermod -L builder.
