Uma vulnerabilidade crítica no Kubernetes Image Builder pode permitir que um invasor obtenha acesso SSH não autorizado com privilégios de root a máquinas virtuais (VMs) criadas pelo projeto.
O Kubernetes é uma plataforma de código aberto amplamente utilizada para automatizar a implantação, o escalonamento e a operação de contêineres — ambientes leves para execução de aplicativos.
Com o Kubernetes Image Builder, os usuários podem criar imagens de VMs para diferentes provedores de API de clusters (CAPI), como Proxmox ou Nutanix, que executam o ambiente Kubernetes. Essas VMs são posteriormente configuradas como nós (servidores) que integram um cluster Kubernetes.
Segundo um comunicado de segurança publicado nos fóruns da comunidade Kubernetes, a vulnerabilidade crítica afeta imagens de VM criadas com o provedor Proxmox no Image Builder versão 0.1.37 ou anterior.
A falha, identificada como CVE-2024-9486, envolve a ativação de credenciais padrão durante o processo de criação da imagem, as quais não são desativadas após a conclusão. Um atacante que tenha conhecimento dessa vulnerabilidade pode se conectar via SSH e usar essas credenciais para obter acesso com privilégios de root às VMs afetadas.
Solução e Mitigação
Para corrigir o problema, é necessário reconstruir as imagens de VM usando a versão v0.1.38 ou posterior do Kubernetes Image Builder. Nessa versão, uma senha aleatória é gerada durante o processo de criação, e a conta padrão "builder" é desativada automaticamente ao final do processo.
Se a atualização não puder ser feita de imediato, uma solução temporária é desativar manualmente a conta "builder" com o seguinte comando:
usermod -L builderMais detalhes sobre as medidas de mitigação e instruções para verificar se seu sistema foi afetado estão disponíveis nesta página do GitHub.
Vulnerabilidade Adicional: CVE-2024-9594
O boletim de segurança também alerta sobre uma vulnerabilidade similar, de gravidade média, identificada como CVE-2024-9594. Essa falha afeta imagens criadas com outros provedores, como Nutanix, OVA, QEMU, ou raw. A exploração dessa vulnerabilidade depende de condições específicas, como o acesso prévio à VM de criação de imagem e a execução de ações que permitam a persistência das credenciais padrão.
As recomendações de correção e mitigação para essa falha são as mesmas aplicadas ao CVE-2024-9486.
Comentarios