Trois failles de sécurité interdépendantes de haute gravité découvertes dans Kubernetes pourraient être exploitées pour réaliser l’exécution de code à distance avec des privilèges élevés sur les points de terminaison Windows au sein d’un cluster.
Le problèmes, suivis sous les noms CVE-2023-3676, CVE-2023-3893 et CVE-2023-3955, ont des scores CVSS de 8,8 et ont un impact sur tous les environnements Kubernetes avec des nœuds Windows. Les correctifs pour les vulnérabilités ont été libéré le 23 août 2023, suite à une divulgation responsable par Akamai le 13 juillet 2023.
« La vulnérabilité permet l’exécution de code à distance avec les privilèges SYSTEM sur tous les points de terminaison Windows au sein d’un cluster Kubernetes », a déclaré Tomer Peled, chercheur en sécurité d’Akamai, dans un article technique partagé avec The Hacker News. « Pour exploiter cette vulnérabilité, l’attaquant doit appliquer un fichier YAML malveillant sur le cluster. »
Services Web Amazon (AWS), Google Cloudet Microsoft Azure ont tous publié des avis pour les bugs qui affectent les versions suivantes de Kubelet –
- Kubelet
- Kubelet
- Kubelet
- kubelet
- Kubelet
- Kubelet
En un mot, CVE-2023-3676 permet à un attaquant disposant des privilèges « appliquer » — ce qui permet d’interagir avec l’API Kubernetes — d’injecter du code arbitraire qui sera exécuté sur des machines Windows distantes avec les privilèges SYSTEM.
« CVE-2023-3676 nécessite de faibles privilèges et place donc la barre basse pour les attaquants : tout ce dont ils ont besoin est d’accéder à un nœud et d’appliquer des privilèges », a noté Peled.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
La vulnérabilité, ainsi que CVE-2023-3955, résulte d’un manque de vérification des entrées, permettant ainsi à une chaîne de chemin spécialement conçue d’être analysée en tant que paramètre d’une commande PowerShell, conduisant effectivement à l’exécution de la commande.
CVE-2023-3893, quant à lui, concerne un cas d’élévation de privilèges dans l’interface de stockage de conteneurs (CSI) proxy qui permet à un acteur malveillant d’obtenir un accès administrateur sur le nœud.
« Un thème récurrent parmi ces vulnérabilités est un manquement dans la désinfection des entrées dans le portage spécifique à Windows de Kubelet », explique la plateforme de sécurité Kubernetes ARMO. Souligné le mois dernier.
« Plus précisément, lors de la gestion des définitions de pods, le logiciel ne parvient pas à valider ou à nettoyer de manière adéquate les entrées des utilisateurs. Cet oubli permet aux utilisateurs malveillants de créer des pods avec des variables d’environnement et des chemins d’hôte qui, une fois traités, conduisent à des comportements indésirables, tels qu’une élévation de privilèges. »