Se ha revelado una falla de seguridad crítica en Kubernetes Image Builder que, si se explota con éxito, podría aprovecharse para obtener acceso raíz en determinadas circunstancias.
La vulnerabilidad, rastreada como CVE-2024-9486 (Puntuación CVSS: 9,8), se ha solucionado en la versión 0.1.38. Los responsables del proyecto agradecieron a Nicolai Rybnikar por descubrir e informar sobre la vulnerabilidad.
“Se descubrió un problema de seguridad en Kubernetes Image Builder donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes”, Joel Smith de Red Hat. dicho en una alerta.
“Además, las imágenes de máquinas virtuales creadas con el proveedor Proxmox no desactivan estas credenciales predeterminadas, y se puede acceder a los nodos que utilizan las imágenes resultantes a través de estas credenciales predeterminadas. Las credenciales se pueden usar para obtener acceso raíz”.
Dicho esto, los clústeres de Kubernetes solo se ven afectados por la falla si sus nodos usan imágenes de máquinas virtuales (VM) creadas a través del proyecto Image Builder con el proveedor Proxmox.
Como mitigación temporal, se recomienda deshabilitar la cuenta de constructor en las máquinas virtuales afectadas. También se recomienda a los usuarios reconstruir las imágenes afectadas utilizando una versión fija de Image Builder y volver a implementarlas en las máquinas virtuales.
La solución implementada por el equipo de Kubernetes evita las credenciales predeterminadas para una contraseña generada aleatoriamente que se establece durante la creación de la imagen. Además, la cuenta del creador se desactiva al final del proceso de creación de la imagen.
Kubernetes Image Builder versión 0.1.38 también soluciona un problema tema relacionado (CVE-2024-9594, puntuación CVSS: 6,3) sobre las credenciales predeterminadas cuando se crean imágenes utilizando Nutanix, OVA, QEMU o proveedores sin formato.
La menor gravedad de CVE-2024-9594 se debe al hecho de que las máquinas virtuales que utilizan las imágenes creadas con estos proveedores son solo afectado “si un atacante pudo llegar a la máquina virtual donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen”.
El desarrollo se produce cuando Microsoft lanzó parches del lado del servidor para tres fallas calificadas como críticas: Dataverse, Imagine Cup y Power Platform que podrían conducir a una escalada de privilegios y divulgación de información:
- CVE-2024-38139 (Puntuación CVSS: 8,7): la autenticación incorrecta en Microsoft Dataverse permite a un atacante autorizado elevar los privilegios en una red
- CVE-2024-38204 (Puntuación CVSS: 7,5): el control de acceso inadecuado en Imagine Cup permite a un atacante autorizado elevar los privilegios en una red
- CVE-2024-38190 (Puntuación CVSS: 8,6): la falta de autorización en Power Platform permite que un atacante no autenticado vea información confidencial a través de un vector de ataque de red
También sigue a la divulgación de una vulnerabilidad crítica en el motor de búsqueda empresarial de código abierto Apache Solr (CVE-2024-45216, puntuación CVSS: 9,8) que podría allanar el camino para una omisión de autenticación en instancias susceptibles.
“Un final falso al final de cualquier ruta URL de la API de Solr permitirá que las solicitudes omitan la autenticación mientras se mantiene el contrato de API con la ruta URL original”, Aviso de GitHub para los estados defectuosos. “Este final falso parece una ruta API desprotegida, sin embargo, se elimina internamente después de la autenticación pero antes del enrutamiento API”.
El problema, que afecta a las versiones de Solr 5.3.0 anteriores a 8.11.4, así como a 9.0.0 anteriores a 9.7.0, se solucionó en las versiones 8.11.4 y 9.7.0, respectivamente.