Ba lỗ hổng bảo mật có mức độ nghiêm trọng cao có liên quan với nhau được phát hiện trong Kubernetes có thể bị khai thác để thực thi mã từ xa với các đặc quyền nâng cao trên các điểm cuối Windows trong một cụm.
Các sự cố, được theo dõi là CVE-2023-3676, CVE-2023-3893 và CVE-2023-3955, có điểm CVSS là 8,8 và ảnh hưởng đến tất cả môi trường Kubernetes có nút Windows. Các bản sửa lỗi cho các lỗ hổng được phát hành vào ngày 23 tháng 8 năm 2023, sau khi Akamai tiết lộ một cách có trách nhiệm vào ngày 13 tháng 7 năm 2023.
"Lỗ hổng cho phép thực thi mã từ xa với đặc quyền HỆ THỐNG trên tất cả các điểm cuối Windows trong cụm Kubernetes", nhà nghiên cứu bảo mật Tomer Peled của Akamai cho biết trong một bài viết kỹ thuật được chia sẻ với The Hacker News. "Để khai thác lỗ hổng này, kẻ tấn công cần áp dụng một tệp YAML độc hại trên cụm."
Amazon Web Services (AWS), Google Cloud và Microsoft Azure đều đã phát hành tư vấn cho các lỗi, ảnh hưởng đến các phiên bản sau của Kubelet -
- Kubelet < v1.28.1
- Kubelet < v1.27.5
- Kubelet < v1.26.8
- Kubelet < v1.25.13, và
- Kubelet < v1.24.17
Tóm lại, CVE-2023-3676 cho phép kẻ tấn công có đặc quyền 'áp dụng' - cho phép tương tác với API Kubernetes - tiêm mã tùy ý sẽ được thực thi trên các máy Windows từ xa có đặc quyền HỆ THỐNG.
"CVE-2023-3676 yêu cầu các đặc quyền thấp và do đó, đặt ra một tiêu chuẩn thấp cho những kẻ tấn công: Tất cả những gì chúng cần có là quyền truy cập vào một nút và áp dụng các đặc quyền", Peled lưu ý.
Lỗ hổng, cùng với CVE-2023-3955, phát sinh do thiếu khử trùng đầu vào, do đó cho phép một chuỗi đường dẫn được chế tạo đặc biệt được phân tích cú pháp dưới dạng tham số cho lệnh PowerShell, dẫn đến việc thực thi lệnh một cách hiệu quả.
Mặt khác, CVE-2023-3893 liên quan đến trường hợp leo thang đặc quyền trong proxy Giao diện lưu trữ vùng chứa (CSI) cho phép tác nhân độc hại có được quyền truy cập quản trị viên trên nút.
"Một chủ đề lặp đi lặp lại trong số các lỗ hổng này là một sai sót trong việc khử trùng đầu vào trong việc chuyển đổi Kubelet dành riêng cho Windows", nền tảng bảo mật Kubernetes ARMO nhấn mạnh vào tháng trước.
"Cụ thể, khi xử lý các định nghĩa Pod, phần mềm không xác nhận đầy đủ hoặc vệ sinh đầu vào của người dùng. Sự giám sát này cho phép người dùng độc hại tạo ra các nhóm với các biến môi trường và đường dẫn máy chủ, khi được xử lý, dẫn đến các hành vi không mong muốn, chẳng hạn như leo thang đặc quyền.