Kubernetes’te keşfedilen birbiriyle ilişkili üç yüksek önem dereceli güvenlik açığı, bir küme içindeki Windows uç noktalarında yükseltilmiş ayrıcalıklarla uzaktan kod yürütülmesini sağlamak için kullanılabilir.
sorunlarCVE-2023-3676, CVE-2023-3893 ve CVE-2023-3955 olarak izlenen 8,8 CVSS puanlarına sahiptir ve Windows düğümlerine sahip tüm Kubernetes ortamlarını etkiler. Güvenlik açıklarına yönelik düzeltmeler yapıldı piyasaya sürülmüş Akamai’nin 13 Temmuz 2023’te yaptığı sorumlu açıklamanın ardından 23 Ağustos 2023’te.
Akamai güvenlik araştırmacısı Tomer Peled, “Güvenlik açığı, bir Kubernetes kümesindeki tüm Windows uç noktalarında SİSTEM ayrıcalıklarıyla uzaktan kod yürütülmesine izin veriyor” dedi. söz konusu The Hacker News ile paylaşılan teknik bir yazıda. “Bu güvenlik açığından yararlanmak için saldırganın kümeye kötü amaçlı bir YAML dosyası uygulaması gerekir.”
Amazon Web Hizmetleri (AWS), Google BulutVe Microsoft Azure Kubelet’in aşağıdaki sürümlerini etkileyen hatalara ilişkin tüm tavsiyeleri yayınladık –
- kubelet < v1.28.1
- kubelet < v1.27.5
- kubelet < v1.26.8
- kubelet < v1.25.13 ve
- kubelet < v1.24.17
Kısaca, CVE-2023-3676 ‘uygulama’ ayrıcalıklarına sahip bir saldırganın, Kubernetes API ile etkileşime girmesini mümkün kılar ve SİSTEM ayrıcalıklarına sahip uzak Windows makinelerinde yürütülecek rastgele kodu enjekte etmesine olanak tanır.
Peled, “CVE-2023-3676 düşük ayrıcalıklar gerektiriyor ve bu nedenle saldırganlar için düşük bir çıta belirliyor: Sahip olmaları gereken tek şey bir düğüme erişim ve ayrıcalıkları uygulamak.” dedi.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Güvenlik açığı, CVE-2023-3955 ile birlikte, giriş temizleme işleminin yapılmaması sonucunda ortaya çıkıyor ve bu sayede, özel hazırlanmış bir yol dizesinin bir PowerShell komutuna parametre olarak ayrıştırılmasına olanak tanıyarak, etkin bir şekilde komut yürütülmesine yol açıyor.
Öte yandan CVE-2023-3893, Konteyner Depolama Arayüzündeki bir ayrıcalık yükseltme durumuyla ilgilidir (CSI) kötü niyetli bir aktörün düğümde yönetici erişimi elde etmesine izin veren proxy.
Kubernetes Güvenlik platformu ARMO, “Bu güvenlik açıkları arasında yinelenen bir tema, Kubelet’in Windows’a özel taşınmasında giriş temizliğinde yaşanan eksikliktir.” vurgulanmış geçen ay.
“Özellikle, Pod tanımlarını işlerken, yazılım kullanıcı girişlerini yeterince doğrulamakta veya arındırmakta başarısız oluyor. Bu gözetim, kötü niyetli kullanıcıların, işlendiğinde ayrıcalık yükseltme gibi istenmeyen davranışlara yol açan ortam değişkenleri ve ana bilgisayar yollarıyla bölmeler oluşturmasına olanak tanıyor.”