Três falhas de segurança inter-relacionadas de alta gravidade foram descobertas no Kubernetes e podem ser exploradas para realizar uma execução remota de código com privilégios elevados nos endpoints do Windows dentro de um cluster.
Os problemas, identificados como
CVE-2023-3676
,
CVE-2023-3893
e
CVE-2023-3955
, têm pontuações CVSS de 8.8 e afetam todos os ambientes Kubernetes com nós Windows.
Correções para as vulnerabilidades foram lançadas em 23 de agosto de 2023, após a divulgação responsável por parte da Akamai em 13 de julho de 2023.
"A vulnerabilidade permite a execução remota de código com privilégios de SYSTEM em todos os endpoints do Windows dentro de um cluster Kubernetes", disse o pesquisador de segurança da Akamai, Tomer Peled, em um relatório técnico compartilhado com The Hacker News.
"Para explorar essa vulnerabilidade, o atacante precisa aplicar um arquivo YAML malicioso no cluster."
Amazon Web Services (AWS), Google Cloud e Microsoft Azure todos lançaram avisos para os bugs, que afetam as seguintes versões do Kubelet -
kubelet < v1.28.1
kubelet < v1.27.5
kubelet < v1.26.8
kubelet < v1.25.13 e
kubelet < v1.24.17
Em suma, o
CVE-2023-3676
permite que um invasor com privilégios de 'aplicar' - o que possibilita a interação com a API do Kubernetes - injete um código arbitrário que será executado em máquinas Windows remotas com privilégios do sistema.
"
CVE-2023-3676
requer privilégios baixos e, portanto, estabelece uma barreira baixa para os invasores: tudo o que eles precisam é ter acesso a um nó e privilégios de aplicação", observou Peled.
A vulnerabilidade, juntamente com o
CVE-2023-3955
, surge como resultado de falta de higienização de entrada, permitindo a interpretação de uma seqüência de caminho especialmente criada como parâmetro em um comando PowerShell, levando efetivamente à execução de comando.
Por outro lado, o
CVE-2023-3893
se refere a um caso de escalada de privilégios na Interface de Proxy de Armazenamento do Contêiner (CSI) que permite que um agente malicioso obtenha acesso administrativo ao nó.
"Um tema recorrente entre essas vulnerabilidades é uma falha na higienização de entrada na porta específica do Windows do Kubelet", destacou a plataforma de segurança Kubernetes, ARMO, no mês passado.
"Em particular, ao lidar com definições de Pod, o software falha ao validar ou higienizar adequadamente as entradas do usuário.
Este descuido permite que usuários mal intencionados criem pods com variáveis ambientais e caminhos de host que, quando processados, levam a comportamentos indesejados, como escalada de privilégio".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...