Três falhas de segurança inter-relacionadas de alta gravidade descobertas no Kubernetes poderiam ser exploradas para obter execução remota de código com privilégios elevados em endpoints do Windows dentro de um cluster.
Os problemas, detectados como CVE-2023-3676, CVE-2023-3893 e CVE-2023-3955, apresentam pontuações CVSS de 8,8 e impactam todos os ambientes Kubernetes com nós Windows. As correções para as vulnerabilidades foram lançadas em 23 de agosto de 2023, após divulgação responsável pela Akamai em 13 de julho de 2023.
“A vulnerabilidade permite a execução remota de código com privilégios SYSTEM em todos os endpoints do Windows dentro de um cluster Kubernetes”, disse o pesquisador de segurança da Akamai, Tomer Peled, em um artigo técnico compartilhado com o The Hacker News. “Para explorar esta vulnerabilidade, o invasor precisa aplicar um arquivo YAML malicioso no cluster.”
Amazon Web Services (AWS), Google Cloud e Microsoft Azure lançaram avisos para os bugs, que afetam as seguintes versões do Kubelet -
Kubelet <v1.28.1
Kubelet <v1.27.5
Kubelet <v1.26.8
kubelet <v1.25.13 e
Kubelet <v1.24.17
Resumindo, o CVE-2023-3676 permite que um invasor com privilégios de ‘aplicação’ – o que torna possível interagir com a API Kubernetes – injete código arbitrário que será executado em máquinas Windows remotas com privilégios SYSTEM.
“CVE-2023-3676 requer privilégios baixos e, portanto, estabelece um padrão baixo para os invasores: tudo o que eles precisam é acessar um nó e aplicar privilégios”, observou Peled.
A vulnerabilidade, juntamente com CVE-2023-3955, surge como resultado da falta de higienização de entrada, permitindo assim que uma sequência de caminho especialmente criada seja analisada como um parâmetro para um comando do PowerShell, levando efetivamente à execução do comando.
CVE-2023-3893, por outro lado, refere-se a um caso de escalonamento de privilégios no proxy Container Storage Interface (CSI) que permite que um ator mal-intencionado obtenha acesso de administrador no nó.
“Um tema recorrente entre essas vulnerabilidades é um lapso na higienização de entrada na portabilidade específica do Kubelet para Windows”, destacou a plataforma de segurança ARMO do Kubernetes no mês passado.
“Especificamente, ao lidar com definições de pod, o software falha em validar ou higienizar adequadamente as entradas do usuário. Esse descuido permite que usuários mal-intencionados criem pods com variáveis de ambiente e caminhos de host que, quando processados, levam a comportamentos indesejados, como escalonamento de privilégios.”
Yorumlar