Kötü niyetli bir saldırganın belirli koşullar altında yükseltilmiş ayrıcalıklarla uzaktan kod yürütmesine olanak tanıyan, Kubernetes’te yamalanmış yüksek önem derecesine sahip bir kusur hakkında ayrıntılar kamuoyuna açıklandı.
Akamai güvenlik araştırmacısı Tomer Peled, “Güvenlik açığı, bir Kubernetes kümesindeki tüm Windows uç noktalarında SİSTEM ayrıcalıklarıyla uzaktan kod yürütülmesine izin veriyor” dedi. söz konusu. “Bu güvenlik açığından yararlanmak için saldırganın kümeye kötü amaçlı YAML dosyaları uygulaması gerekir.”
CVE-2023-5528 (CVSS puanı: 7.2) olarak takip edilen eksiklik, 1.8.0 sürümü de dahil olmak üzere kubelet’in tüm sürümlerini etkiliyor. Bu sorun, 14 Kasım 2023’te yayımlanan güncellemelerin parçası olarak aşağıdaki sürümlerde giderildi:
- kubelet v1.28.4
- kubelet v1.27.8
- kubelet v1.26.11 ve
- kubelet v1.25.16
Kubernetes bakımcıları, “Kubernetes’te, Windows düğümlerinde bölmeler ve kalıcı birimler oluşturabilen bir kullanıcının bu düğümlerde yönetici ayrıcalıklarına yükselebileceği bir güvenlik sorunu keşfedildi.” söz konusu o sırada yayınlanan bir tavsiye niteliğinde. “Kubernetes kümeleri yalnızca Windows düğümleri için ağaç içi depolama eklentisi kullanıyorlarsa etkilenir.”
Kusurun başarılı bir şekilde kullanılması, bir kümedeki tüm Windows düğümlerinin tamamen ele geçirilmesiyle sonuçlanabilir. Benzer bir dizi kusurun daha önce web altyapı şirketi tarafından Eylül 2023’te açıklandığını belirtmekte fayda var.
Sorun, “güvenli olmayan işlev çağrısının kullanılmasından ve kullanıcı girişi temizliğinin yapılmamasından” kaynaklanmaktadır ve adı verilen özellikle ilgilidir. Kubernetes birimleriolarak bilinen bir birim türünden özellikle yararlanılır. yerel ciltler kullanıcıların bir bölme belirleyerek veya oluşturarak disk bölümünü bir bölmeye bağlamasına olanak tanır. Kalıcı Hacim.
Peled, “Yerel birim içeren bir bölme oluştururken kubelet hizmeti (sonunda) ‘MountSensitive()’ işlevine ulaşacak” dedi. “İçinde ‘exec.command’a bir cmd satırı çağrısı var, bu da birimin düğümdeki konumu ile bölmenin içindeki konum arasında bir sembolik bağlantı oluşturuyor.”
Bu, saldırganın, YAML dosyasında özel hazırlanmış bir yol parametresine sahip bir PersistentVolume oluşturarak komut eklemeyi ve yürütmeyi tetikleyen bir PersistentVolume oluşturarak yararlanabileceği bir boşluk sağlar. “&&” komut ayırıcı.
Peled, eklenen yama hakkında şunları söyledi: “Enjekte etme fırsatını ortadan kaldırmak amacıyla Kubernetes ekibi cmd çağrısını silmeyi ve onu aynı işlemi ‘os.Symlink()’ gerçekleştirecek yerel bir GO işleviyle değiştirmeyi seçti.” yer.
Açıklama, kullanım ömrü sonu (EoL) Zhejiang Uniview ISC kamera modeli 2500-S’de keşfedilen kritik bir güvenlik kusuru olarak geliyor (CVE-2024-0778CVSS puanı: 9,8), tehdit aktörleri tarafından, Condi adlı farklı bir botnet ile altyapı çakışmalarını paylaşan NetKiller adlı bir Mirai botnet çeşidini düşürmek için kullanılıyor.
Akamai, “Condi botnet kaynak kodu 17 Ağustos ile 12 Ekim 2023 arasında Github’da halka açık olarak yayınlandı” söz konusu. “Condi kaynak kodunun aylardır mevcut olduğu göz önüne alındığında, diğer tehdit aktörlerinin de […] kullanıyorlar.”