Alert: New Kubernetes Vulnerabilities Enable Remote Attacks on Windows Endpoints
2023/09/13 TheHackerNews — Kubernetes で3件の深刻な脆弱性が発見され、その連鎖の危険性が指摘されている。それにより、クラスタ内の Windows エンドポイント上で、特権を昇格させたリモートコード実行に悪用されるという可能性が生じている。これらの脆弱性 CVE-2023-3676/CVE-2023-3893/CVE-2023-3955 の CVSS スコアは 8.8 であり、Windows ノードを持つ全ての Kubernetes 環境に影響を与えるという。これらの脆弱性については、2023年7月13日に Akamai から報告が行われ、2023年8月23日に修正版がリリースされた。
Akamai のセキュリティ研究者 Tomer Peled は、「この脆弱性により、Kubernetes クラスタ内の全ての Windows エンドポイントにおいて、システム権限を用いたリモートコード実行が可能になる。ただし、この脆弱性を悪用する攻撃者は、クラスタ上で悪意の YAML ファイルを適用する必要がある」と、The Hacker News と共有している。
Amazon Web Services (AWS)/Google Cloud/Microsoft Azure は、以下のように Kubelet のバージョンに影響を及ぼすバグに対する勧告を発表している。
- kubelet < v1.28.1
- kubelet < v1.27.5
- kubelet < v1.26.8
- kubelet < v1.25.13
- kubelet < v1.24.17
簡単に説明すると、Kubernetes API と対話することが可能な ‘apply’ 権限を持つ攻撃者が、脆弱性 CVE-2023-3676 の悪用に成功すると、システム権限で実行される任意のコードを、リモートの Windows マシンに注入できるようになる。
Tomer Peled は、「低権限でも悪用できる CVE-2023-3676 により、攻撃者にとってハードルが引き下げられる。 必要なのは、ノードへのアクセスと権限の適用だけだ」と 指摘する。
脆弱性 CVE-2023-3676 と CVE-2023-3955 は、入力に対するサニタイズの欠如から生じている。それにより、特別に細工されたパス文字列が PowerShell コマンドのパラメータとして解析され、コマンド実行という効果につながる。
その一方で、脆弱性 CVE-2023-3893 は、Container Storage Interface (CSI) プロキシにおける特権昇格のケースに関連しており、ノードの管理者アクセス権が、脅威アクターにより不正に取得されることになる。
Kubernetes Security プラットフォームである ARMO は、「これらの脆弱性の中で繰り返されるテーマは、Windows に特化した Kubelet の移植における入力サニタイズの不備である。具体的には、Kubelet が Pod の定義を処理する際に、ユーザー入力に対する適切な検証やサニタイズが行われていないことに起因している。この見落としにより、環境変数やホストパスを含む Pod を、悪意のユーザーが作成することが可能となり、特権の昇格などの望ましくない動作につながる」と、8月の時点で強く指摘していた。
Kubernetes に脆弱性とのことですが、お隣のキュレーション・チームに聞いてみたら、9月2日〜 9月6日にレポートしており、ソースは ReHat だと言っていました。コンテの機能/構造が複雑なので、素人には解らないことだらけですが、ご利用の方は、お気をるけください。よろしければ、Kubernetes で検索も、ご利用ください。
You must be logged in to post a comment.