Une faille de sécurité critique a été révélée dans Kubernetes Image Builder qui, si elle est exploitée avec succès, pourrait être utilisée de manière abusive pour obtenir un accès root dans certaines circonstances.
La vulnérabilité, suivie comme CVE-2024-9486 (score CVSS : 9,8), a été corrigé dans la version 0.1.38. Les responsables du projet ont remercié Nicolai Rybnikar pour avoir découvert et signalé la vulnérabilité.
“Un problème de sécurité a été découvert dans Kubernetes Image Builder où les informations d’identification par défaut sont activées pendant le processus de création d’image”, Joel Smith de Red Hat dit dans une alerte.
“De plus, les images de machines virtuelles créées à l’aide du fournisseur Proxmox ne désactivent pas ces informations d’identification par défaut, et les nœuds utilisant les images résultantes peuvent être accessibles via ces informations d’identification par défaut. Les informations d’identification peuvent être utilisées pour obtenir un accès root.”
Cela dit, les clusters Kubernetes ne sont impactés par la faille que si leurs nœuds utilisent des images de machines virtuelles (VM) créées via le projet Image Builder avec le fournisseur Proxmox.
À titre d’atténuation temporaire, il a été conseillé de désactiver le compte du constructeur sur les machines virtuelles concernées. Il est également recommandé aux utilisateurs de reconstruire les images concernées à l’aide d’une version fixe d’Image Builder et de les redéployer sur les machines virtuelles.
Le correctif mis en place par l’équipe Kubernetes évite les informations d’identification par défaut pour un mot de passe généré aléatoirement et défini pour la durée de la création de l’image. De plus, le compte constructeur est désactivé à la fin du processus de création d’image.
Kubernetes Image Builder version 0.1.38 répond également à un problème connexe (CVE-2024-9594, score CVSS : 6,3) concernant les informations d’identification par défaut lorsque les constructions d’images sont créées à l’aide des fournisseurs Nutanix, OVA, QEMU ou raw.
La gravité moindre de CVE-2024-9594 provient du fait que les machines virtuelles utilisant les images créées à l’aide de ces fournisseurs sont uniquement affecté “si un attaquant était capable d’atteindre la machine virtuelle sur laquelle la création de l’image avait lieu et utilisait la vulnérabilité pour modifier l’image au moment où la création de l’image se produisait.”
Ce développement intervient alors que Microsoft a publié des correctifs côté serveur pour trois failles critiques Dataverse, Imagine Cup et Power Platform qui pourraient conduire à une élévation de privilèges et à la divulgation d’informations –
- CVE-2024-38139 (score CVSS : 8,7) – Une authentification incorrecte dans Microsoft Dataverse permet à un attaquant autorisé d’élever ses privilèges sur un réseau
- CVE-2024-38204 (score CVSS : 7,5) – Un contrôle d’accès inapproprié dans Imagine Cup permet à un attaquant autorisé d’élever ses privilèges sur un réseau.
- CVE-2024-38190 (score CVSS : 8,6) – L’autorisation manquante dans Power Platform permet à un attaquant non authentifié de visualiser des informations sensibles via un vecteur d’attaque réseau
Cela fait également suite à la divulgation d’une vulnérabilité critique dans le moteur de recherche d’entreprise open source Apache Solr (CVE-2024-45216, score CVSS : 9,8) qui pourrait ouvrir la voie à un contournement d’authentification sur les instances sensibles.
“Une fausse fin à la fin de n’importe quel chemin d’URL de l’API Solr permettra aux requêtes d’ignorer l’authentification tout en conservant le contrat d’API avec le chemin d’URL d’origine”, a-t-il déclaré. Avis GitHub pour les états de défauts. “Cette fausse fin ressemble à un chemin API non protégé, mais elle est supprimée en interne après l’authentification mais avant le routage API.”
Le problème, qui affecte les versions Solr 5.3.0 avant 8.11.4, ainsi que 9.0.0 avant 9.7.0, a été corrigé dans les versions 8.11.4 et 9.7.0, respectivement.