Pesquisadores Detalham Vulnerabilidade em Kubernetes que Permite a Apropriação de Nó Windows
15 de Março de 2024

Detalhes foram divulgados publicamente sobre uma falha de alta gravidade agora corrigida no Kubernetes, que poderia permitir que um invasor mal-intencionado executasse código remoto com privilégios elevados em circunstâncias específicas.

"A vulnerabilidade permite a execução de código remoto com privilégios SYSTEM em todos os endpoints do Windows dentro de um cluster do Kubernetes", disse o pesquisador de segurança da Akamai, Tomer Peled.

"Para explorar essa vulnerabilidade, o invasor precisa aplicar arquivos YAML maliciosos no cluster."

Rastreada como CVE-2023-5528 (pontuação CVSS: 7.2), a deficiência afeta todas as versões do kubelet, incluindo e depois da versão 1.8.0.

Foi corrigida como parte das atualizações lançadas em 14 de novembro de 2023, nas seguintes versões-

kubelet v1.28.4
kubelet v1.27.8
kubelet v1.26.11, e
kubelet v1.25.16

"Um problema de segurança foi descoberto no Kubernetes onde um usuário que pode criar pods e volumes persistentes em nós do Windows pode ser capaz de elevar para privilégios de administrador nesses nós", disseram os mantenedores do Kubernetes em um comunicado lançado na época.

"Os clusters do Kubernetes só são afetados se estiverem usando um plug-in de armazenamento in-tree para nós do Windows."

A exploração bem-sucedida da falha poderia resultar na tomada total de todos os nós do Windows em um cluster.

Vale ressaltar que outro conjunto de falhas semelhantes foi previamente divulgado pela empresa de infraestrutura web em setembro de 2023.

O problema decorre do uso de "chamada de função insegura e falta de saneamento de entrada do usuário" e se relaciona com um recurso chamado volumes do Kubernetes, especialmente usando um tipo de volume conhecido como volumes locais que permitem aos usuários montar partição de disco em um pod especificando ou criando um PersistentVolume.

"Ao criar um pod que inclui um volume local, o serviço kubelet alcançará (eventualmente) a função 'MountSensitive()'", explicou Peled.

"Dentro dele, há uma chamada de linha de comando para 'exec.command', que faz um link simbólico entre o local do volume no nó e o local dentro do pod."

Isso fornece um ponto frágil que um invasor pode explorar, criando um PersistentVolume com um parâmetro de caminho especialmente projetado no arquivo YAML, que aciona a injeção e execução de comandos usando o separador de comandos "&&".

"Em um esforço para remover a oportunidade de injeção, a equipe do Kubernetes escolheu excluir a chamada de comando e a substituiu por uma função nativa do GO que fará a mesma operação 'os.Symlink()'", disse Peled sobre o patch aplicado.

A divulgação ocorre quando uma falha crítica de segurança descoberta no modelo de câmera Zhejiang Uniview ISC 2500-S ( CVE-2024-0778 , pontuação CVSS: 9.8) está sendo explorada por atores de ameaças para instalar uma variante do botnet Mirai chamada NetKiller, que compartilha sobreposições de infraestrutura com um botnet diferente chamado Condi.

"O código-fonte do botnet Condi foi lançado publicamente no Github entre 17 de agosto e 12 de outubro de 2023", disse a Akamai.

"Considerando que o código-fonte do Condi está disponível há meses, é provável que outros atores de ameaças [...] estejam usando."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...