Novas Vulnerabilidades Kubernetes Permitem Ataques Remotos em Endpoints do Windows
14 de Setembro de 2023

Três falhas de segurança inter-relacionadas de alta gravidade foram descobertas no Kubernetes e podem ser exploradas para realizar uma execução remota de código com privilégios elevados nos endpoints do Windows dentro de um cluster.

Os problemas, identificados como CVE-2023-3676 , CVE-2023-3893 e CVE-2023-3955 , têm pontuações CVSS de 8.8 e afetam todos os ambientes Kubernetes com nós Windows.

Correções para as vulnerabilidades foram lançadas em 23 de agosto de 2023, após a divulgação responsável por parte da Akamai em 13 de julho de 2023.

"A vulnerabilidade permite a execução remota de código com privilégios de SYSTEM em todos os endpoints do Windows dentro de um cluster Kubernetes", disse o pesquisador de segurança da Akamai, Tomer Peled, em um relatório técnico compartilhado com The Hacker News.

"Para explorar essa vulnerabilidade, o atacante precisa aplicar um arquivo YAML malicioso no cluster."

Amazon Web Services (AWS), Google Cloud e Microsoft Azure todos lançaram avisos para os bugs, que afetam as seguintes versões do Kubelet -

kubelet < v1.28.1
kubelet < v1.27.5
kubelet < v1.26.8
kubelet < v1.25.13 e
kubelet < v1.24.17

Em suma, o CVE-2023-3676 permite que um invasor com privilégios de 'aplicar' - o que possibilita a interação com a API do Kubernetes - injete um código arbitrário que será executado em máquinas Windows remotas com privilégios do sistema.

" CVE-2023-3676 requer privilégios baixos e, portanto, estabelece uma barreira baixa para os invasores: tudo o que eles precisam é ter acesso a um nó e privilégios de aplicação", observou Peled.

A vulnerabilidade, juntamente com o CVE-2023-3955 , surge como resultado de falta de higienização de entrada, permitindo a interpretação de uma seqüência de caminho especialmente criada como parâmetro em um comando PowerShell, levando efetivamente à execução de comando.

Por outro lado, o CVE-2023-3893 se refere a um caso de escalada de privilégios na Interface de Proxy de Armazenamento do Contêiner (CSI) que permite que um agente malicioso obtenha acesso administrativo ao nó.

"Um tema recorrente entre essas vulnerabilidades é uma falha na higienização de entrada na porta específica do Windows do Kubelet", destacou a plataforma de segurança Kubernetes, ARMO, no mês passado.

"Em particular, ao lidar com definições de Pod, o software falha ao validar ou higienizar adequadamente as entradas do usuário.

Este descuido permite que usuários mal intencionados criem pods com variáveis ambientais e caminhos de host que, quando processados, levam a comportamentos indesejados, como escalada de privilégio".

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...