Kubernetes'teki kritik bir güvenlik açığı, Kubernetes görüntü oluşturucu projesi ile oluşturulan bir görüntüyü çalıştıran bir sanal makineye yetkisiz SSH erişimine izin verebilir.
Kubernetes, uygulamaların çalıştırılması için dağıtımın, ölçeklendirmenin ve sanal kapları kullanmaya yardımcı olan açık kaynaklı bir platformdur.
Kubernetes Image Builder ile kullanıcılar, Kubernetes ortamını çalıştıran Proxmox veya Nutanix gibi çeşitli küme API'ları (CAPI) sağlayıcıları için sanal makine (VM) görüntüleri oluşturabilir. Bu VM'ler daha sonra bir Kubernetes kümesinin parçası haline gelen düğümleri (sunucular) ayarlamak için kullanılır.
Kubernetes Topluluk Forumları'ndaki bir güvenlik danışmanlığına göre, kritik güvenlik açığı, 0.1.37 veya önceki görüntü oluşturucu sürümünde ProxMox sağlayıcısı ile oluşturulan VM görüntülerini etkiler.
Sorun şu anda CVE-2024-9486 olarak izleniyor ve görüntü oluşturma işlemi sırasında etkinleştirilen ve daha sonra devre dışı olmayan varsayılan kimlik bilgilerinin kullanılmasından oluşuyor.
Bunun bir SSH bağlantısı üzerinden bağlanabileceğini bilen bir tehdit oyuncusu ve savunmasız VM'lere kök ayrıcalıklarına erişim elde etmek için bu kimlik bilgilerini kullanın.
Çözüm, oluşturma işlemi sırasında rastgele oluşturulan bir şifre ayarlayan ve işlem yapıldıktan sonra varsayılan “oluşturucu” hesabını devre dışı bırakan Kubernetes görüntü oluşturucu sürümü v0.1.38 veya üstünü kullanarak etkilenen VM görüntülerini yeniden inşa etmektir.
Şu anda yükseltme mümkün değilse, geçici bir çözüm, oluşturucu hesabını komutu kullanarak devre dışı bırakmaktır:
Usermod -l Builder
Azaltma ve sisteminizin etkilenip etkilenmediğini nasıl kontrol edeceğiniz hakkında daha fazla bilgi bu GitHub sayfasında kullanılabilir.
Bülten ayrıca, aynı sorunun Nutanix, OVA, QEMU veya RAW sağlayıcılarla inşa edilen görüntüler için de var olduğu konusunda da uyarıyor, ancak başarılı sömürü için ek gereksinimler nedeniyle orta yüzlük derecesine sahip. Güvenlik açığı artık CVE-2024-9594 olarak tanımlanmaktadır.
Özellikle, kusur yalnızca oluşturma işlemi sırasında kullanılabilir ve bir saldırganın görüntü yaratan VM'ye erişmesini ve varsayılan kimlik bilgilerinin devam etmesi için eylemler gerçekleştirmesini ve böylece VM'ye gelecekteki erişime izin vermesini gerektirir.
CVE-2024-9594 için aynı düzeltme ve azaltma önerisi geçerlidir.
Jetpack, 2016'dan beri var olan kritik bilgilerin açıklama kusurunu düzeltir
Gitlab kritik keyfi şube boru hattı yürütme kusurunu uyarıyor
Mozilla, Firefox'u Saldırılarda Aktif Olarak Sömürülen Zero-Day'i düzeltir
Yeni tarayıcı, Cups RCE saldırılarına maruz kalan Unix sunucuları Linux'u bulur
Microsoft Ekim 2024 Patch Salı 5 sıfır gün, 118 kusur düzeltiyor
Kaynak: Bleeping Computer