Tres fallas de seguridad interrelacionadas de alta gravedad descubiertas en Kubernetes podrían aprovecharse para lograr la ejecución remota de código con privilegios elevados en puntos finales de Windows dentro de un clúster.
El asuntos, rastreado como CVE-2023-3676, CVE-2023-3893 y CVE-2023-3955, tiene puntuaciones CVSS de 8,8 e impacta todos los entornos de Kubernetes con nodos de Windows. Las correcciones para las vulnerabilidades fueron liberado el 23 de agosto de 2023, tras la divulgación responsable por parte de Akamai el 13 de julio de 2023.
«La vulnerabilidad permite la ejecución remota de código con privilegios de SISTEMA en todos los puntos finales de Windows dentro de un clúster de Kubernetes», dijo el investigador de seguridad de Akamai, Tomer Peled, en un artículo técnico compartido con The Hacker News. «Para explotar esta vulnerabilidad, el atacante necesita aplicar un archivo YAML malicioso en el clúster».
Servicios web de Amazon (AWS), Nube de Googley MicrosoftAzure Tenemos todos los avisos publicados para los errores, que afectan a las siguientes versiones de Kubelet:
- kubelet
- kubelet
- kubelet
- kubelet
- kubelet
- kubelet
En una palabra, CVE-2023-3676 permite a un atacante con privilegios de «aplicación», lo que hace posible interactuar con la API de Kubernetes, inyectar código arbitrario que se ejecutará en máquinas Windows remotas con privilegios de SISTEMA.
«CVE-2023-3676 requiere privilegios bajos y, por lo tanto, establece un listón bajo para los atacantes: todo lo que necesitan es acceso a un nodo y aplicar privilegios», señaló Peled.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
La vulnerabilidad, junto con CVE-2023-3955, surge como resultado de una falta de saneamiento de entrada, lo que permite analizar una cadena de ruta especialmente diseñada como parámetro para un comando de PowerShell, lo que efectivamente conduce a la ejecución del comando.
CVE-2023-3893, por otro lado, se relaciona con un caso de escalada de privilegios en la interfaz de almacenamiento de contenedores (CSI) proxy que permite a un actor malintencionado obtener acceso de administrador en el nodo.
«Un tema recurrente entre estas vulnerabilidades es un lapso en la desinfección de entradas en la portabilidad específica de Windows de Kubelet», dijo la plataforma de seguridad de Kubernetes ARMO. resaltado el mes pasado.
«Específicamente, cuando se manejan definiciones de Pod, el software no valida ni desinfecta adecuadamente las entradas del usuario. Esta supervisión permite a los usuarios malintencionados crear pods con variables de entorno y rutas de host que, cuando se procesan, conducen a comportamientos no deseados, como la escalada de privilegios».