Er is een kritieke beveiligingsfout onthuld in de Kubernetes Image Builder die, indien succesvol uitgebuit, onder bepaalde omstandigheden kan worden misbruikt om root-toegang te verkrijgen.
De kwetsbaarheid, bijgehouden als CVE-2024-9486 (CVSS-score: 9.8), is verholpen in versie 0.1.38. De projectbeheerders erkenden Nicolai Rybnikar voor het ontdekken en melden van de kwetsbaarheid.
“Er is een beveiligingsprobleem ontdekt in de Kubernetes Image Builder, waarbij standaardreferenties zijn ingeschakeld tijdens het image-buildproces”, zei Joel Smith van Red Hat in een waarschuwing.
“Bovendien schakelen afbeeldingen van virtuele machines die zijn gebouwd met behulp van de Proxmox-provider deze standaardreferenties niet uit, en knooppunten die de resulterende afbeeldingen gebruiken, kunnen toegankelijk zijn via deze standaardreferenties. De inloggegevens kunnen worden gebruikt om root-toegang te krijgen.”
Dat gezegd hebbende, ondervinden Kubernetes-clusters alleen last van de fout als hun knooppunten virtuele machine-images (VM) gebruiken die zijn gemaakt via het Image Builder-project van de Proxmox-provider.
Als tijdelijke oplossing is geadviseerd om het builderaccount op getroffen VM’s uit te schakelen. Gebruikers wordt ook aangeraden de getroffen images opnieuw op te bouwen met een vaste versie van Image Builder en deze opnieuw te implementeren op VM’s.
De oplossing die door het Kubernetes-team is aangebracht, vermijdt de standaardreferenties voor een willekeurig gegenereerd wachtwoord dat is ingesteld voor de duur van het bouwen van de image. Bovendien wordt het builder-account uitgeschakeld aan het einde van het image-buildproces.
Kubernetes Image Builder versie 0.1.38 verhelpt ook een gerelateerd probleem (CVE-2024-9594, CVSS-score: 6.3) met betrekking tot standaardreferenties wanneer image-builds worden gemaakt met behulp van de Nutanix-, OVA-, QEMU- of raw-providers.
De lagere ernst van CVE-2024-9594 komt voort uit het feit dat de VM’s die de images gebruiken die met deze providers zijn gebouwd, alleen worden getroffen “als een aanvaller de VM kon bereiken waar de image-build plaatsvond en de kwetsbaarheid gebruikte om de image te wijzigen op het moment dat de beeldvorming plaatsvond.”
De ontwikkeling komt op het moment dat Microsoft server-side patches heeft uitgebracht voor drie kritieke fouten Dataverse, Imagine Cup en Power Platform die zouden kunnen leiden tot escalatie van bevoegdheden en het vrijgeven van informatie –
- CVE-2024-38139 (CVSS-score: 8,7) – Onjuiste authenticatie in Microsoft Dataverse zorgt ervoor dat een geautoriseerde aanvaller de bevoegdheden over een netwerk kan verhogen
- CVE-2024-38204 (CVSS-score: 7,5) – Onjuiste toegangscontrole in Imagine Cup stelt een geautoriseerde aanvaller in staat om bevoegdheden over een netwerk te verhogen
- CVE-2024-38190 (CVSS-score: 8,6) – Door ontbrekende autorisatie in Power Platform kan een niet-geverifieerde aanvaller gevoelige informatie bekijken via een netwerkaanvalvector
Het volgt ook op de openbaarmaking van een kritieke kwetsbaarheid in de open-source enterprise zoekmachine Apache Solr (CVE-2024-45216, CVSS-score: 9,8) die de weg zou kunnen vrijmaken voor een authenticatie-bypass op gevoelige instanties.
“Een nep-einde aan het einde van elk Solr API-URL-pad maakt het mogelijk dat verzoeken de authenticatie overslaan terwijl het API-contract met het oorspronkelijke URL-pad behouden blijft”, aldus een GitHub-advies over de fout. “Dit nep-einde ziet eruit als een onbeschermd API-pad, maar wordt intern verwijderd na authenticatie maar vóór API-routering.”
Het probleem, dat van invloed is op Solr-versies van 5.3.0 vóór 8.11.4, evenals van 9.0.0 vóór 9.7.0, is verholpen in respectievelijk versie 8.11.4 en 9.7.0.
