В Kubernetes исправлена критическая уязвимость, позволяющая получить несанкционированный SSH-доступ к виртуальной машине, на которой запущен образ, созданный с помощью Kubernetes Image Builder.

С помощью Kubernetes Image Builder пользователи могут создавать образы виртуальных машин (ВМ) для различных поставщиков кластерных API (CAPI), таких как Proxmox или Nutanix, которые работают в среде Kubernetes. Эти ВМ затем используются для создания узлов (серверов), которые становятся частью кластера Kubernetes.

Согласно опубликованному бюллетеню безопасности, критический баг получил идентификатор CVE-2024-9486 (9,8 балла по шкале CVSS) и затрагивает образы ВМ, созданные с помощью Proxmox на Image Builder версии 0.1.37 или более ранних.

Суть бага банальна и кроется в использовании учетных данных по умолчанию, которые активны в процессе создания образа, но не отключаются впоследствии.

Злоумышленник, которому известно о проблеме, может подключиться через SSH и использовать учетные данные по умолчанию для получения root-доступа к уязвимым виртуальным машинам.

Отмечается, что уязвимость проявляется и для образов, созданных с помощью Nutanix, OVA, QEMU и raw, однако в этих случаях уязвимость считается менее серьезной, так как для успешной эксплуатации потребуется выполнить ряд дополнительных условий, а эксплуатация возможна только во время сборки. В этом случае баг отслеживается как CVE-2024-9594 (6,3 балла по шкале CVSS).

Чтобы устранить уязвимость, потребуется пересобрать затронутые образы с помощью Kubernetes Image Builder версии 0.1.38 или более поздней, которая устанавливает случайно сгенерированный пароль в процессе сборки, а также отключает учетную запись builder по умолчанию после завершения процесса.

Также временем решением проблемы может стать отключение учетной записи builder с помощью команды usermod -L builder.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии