Critical Flaws in Red Hat OpenShift: CVE-2024-45496 (CVSS 9.9) & CVE-2024-7387 (CVSS 9.1)
2024/09/17 SecurityOnline — ハイブリッド・クラウド・プラットフォームである Red Hat OpenShift に、2つの重大な脆弱性が発見された。同ツールは、その堅牢なセキュリティ機能で知られ、Global Fortune 500 の大部分を含む 3,000社以上の顧客から支持を得ている。OpenShift Container Platform のビルドプロセスを標的とする攻撃者に、これらの脆弱性 CVE-2024-45496/CVE-2024-7387 が悪用されると、任意のコマンド実行を許すことになり、影響を受けるノードでの権限昇格の可能性が生じる。
1つ目の脆弱性 CVE-2024-45496 (CVSS:9.9) は、OpenShift のビルドプロセスにおける深刻な欠陥である。この脆弱性は、ビルドの初期化中における特権の不正な使用により発生するものであり、git-clone コンテナが特権付きのセキュリティ・コンテキストで実行されてしまう。おれにより、開発者レベルのアクセス権を持つ攻撃者は、細工した .gitconfig ファイルを介して悪意のコードの注入が可能となり、その結果として、ワーカーノード上での任意のコマンド実行へといたる。
この脆弱性は重大な脅威であるが、カスタム戦略においては、すでに特権コンテナ内で任意のコマンドを実行する権限が開発者に付与されているため、この脆弱性は OpenShift の Custom ビルド戦略には影響しないと、Red Hat は述べている。さらに同社は、この戦略はデフォルトでは無効化されており、クラスタ管理者などの高度に信頼されたユーザーのみに有効化されるべきだとしている。
2つ目の脆弱性 CVE-2024-7387 (CVSS:9.1) は、OpenShift 環境に別の深刻なリスクをもたらすものだ。この欠陥により、BuildConfig 定義の spec.source.secrets.secret.destinationDir 属性の悪用が許され、パス・トラバーサルによるコマンド・インジェクションの可能性が生じるという。それにより攻撃者は、特権付きビルド・コンテナ内に存在する、実行形式のファイルの上書きを達成し、コンテナを実行しているノード上で任意のコマンド実行の可能性を手にする。
CVE-2024-45496 と同様に、信頼されるユーザーに制限されている Custom ビルド戦略が、デフォルトで使用されている場合には、この脆弱性は権限昇格パスとは見なされないと、Red Hat は指摘している。前者のケースと同様に、MicroShift および Shipwright ベースの Red Hat OpenShift Operator のビルドは、この脆弱性の影響を受けない。
すでに Red Hat は、両方の脆弱性に対するパッチをリリースしており、すべての OpenShift ユーザーに対して、ただちにクラスターを更新するよう強く推奨している。Red Hat がクラスター管理者に対して推奨するのは、アップデートが展開されるまでの間において、影響を受けるビルド戦略 (Docker および Source)の使用を、高度に信頼できるユーザーに制限することだ。
これらの脆弱性が浮き彫りにするのは、ソフトウェアを最新の状態に保ち、セキュリティに関するベストプラクティスに従うことの重要性である。OpenShift に依存している組織に求められるのは、迅速に対応して潜在的な攻撃からクラスタを保護することである。
ハイブリッド・クラウドのプラットフォームとして、Red Hat OpenShift は頑張っているのですね。さまざまなエンタープライズ・ソリューションにおいて、これからもハイブリッド・クラウドは、一定の領域を占めていくのだと思えます。そして、この記事で解説されている2つの脆弱性ですが、どちらも CVSS 値が高いです。ご利用のチームは、ご注意ください。よろしければ、Red Hat で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.