Uma vulnerabilidade crítica no Kubernetes poderia permitir acesso SSH não autorizado a uma máquina virtual que executa uma imagem criada com o projeto Kubernetes Image Builder.
Kubernetes é uma plataforma de código aberto que ajuda a automatizar a implantação, escalonamento e operação de contêineres virtuais - ambientes leves para a execução de aplicações.
Com o Kubernetes Image Builder, os usuários podem criar imagens de máquinas virtuais (VM) para diversos provedores da Cluster API (CAPI), como Proxmox ou Nutanix, que executam o ambiente Kubernetes.
Essas VMs são então utilizadas para configurar nós (servidores) que se tornam parte de um cluster Kubernetes.
De acordo com um aviso de segurança nos fóruns da comunidade Kubernetes, a vulnerabilidade crítica afeta imagens de VM construídas com o provedor Proxmox no Image Builder versão 0.1.37 ou anterior.
O problema está atualmente rastreado como
CVE-2024-9486
e consiste no uso de credenciais padrão ativadas durante o processo de construção da imagem e não desativadas posteriormente.
Um ator de ameaça ciente disso poderia se conectar por uma conexão SSH e usar essas credenciais para obter acesso com privilégios de root às VMs vulneráveis.
A solução é reconstruir as imagens de VM afetadas usando a versão v0.1.38 do Kubernetes Image Builder ou posterior, que define uma senha gerada aleatoriamente durante o processo de construção e também desativa a conta “builder” padrão após o processo ser concluído.
Se a atualização não for possível no momento, uma solução temporária é desativar a conta do builder usando o comando:
usermod -L builder
Mais informações sobre a mitigação e como verificar se seu sistema está afetado estão disponíveis nesta página do GitHub.
O boletim também adverte que o mesmo problema existe para imagens construídas com os provedores Nutanix, OVA, QEMU ou raw, mas tem uma classificação de gravidade média devido a requisitos adicionais para exploração bem-sucedida.
A vulnerabilidade agora é identificada como
CVE-2024-9594
.
Especificamente, a falha só pode ser explorada durante o processo de construção e requer que um atacante ganhe acesso à VM que está criando a imagem e execute ações para que as credenciais padrões persistam, permitindo assim o acesso futuro à VM.
A mesma correção e recomendação de mitigação se aplicam para o
CVE-2024-9594
.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...