CVE-2024-9486 (CVSS 9.8): Kubernetes Image Builder Flaw Exposes VMs to Root Access
2024/10/15 SecurityOnline — Kubernetes Security Response Committee が公表したのは、仮想マシン (VM) へのルート・アクセスを攻撃者に許す可能性のある、Kubernetes Image Builder の脆弱性 CVE-2024-9486/CVE-2024-9594 に関するアドバイザリである。この脆弱性は、イメージのビルドプロセス中に、デフォルトの認証情報が使用されることで生じるという。
CVE-2024-9486:Proxmox プロバイダーがもたらすリスク
1つ目の脆弱性 CVE-2024-9486 (CVSS 9.8) は、特に Proxmox プロバイダーで構築されたイメージに影響を与える。このセキュリティ・アドバイザリは、「Proxmox プロバイダーを用いて構築された仮想マシンイメージでは、それらのデフォルトの認証情報が無効化されていないため、それにより作成されたイメージを用いるノードに対して、これらのデフォルト認証情報でアクセスできる可能性がある」と警告している。つまり、これらの認証情報を悪用する攻撃者は、影響を受ける VM を完全に制御する可能性を得ることになる。
CVE-2024-9594:Nutanix/OVA/QEMU なども影響を受ける
2つ目の脆弱性 CVE-2024-9594(CVSS 6.3)は、Nutanix/OVA/QEMU/raw プロバイダーで構築されたイメージに影響を与える。これらのイメージも、ビルドプロセス中にデフォルトの認証情報を用いるが、それらはビルド完了時に無効化される。ただし、アドバイザリには、「これらのイメージは、ビルドプロセス中に脆弱性を生じるため、イメージのビルドが行われている VM に攻撃者が到達し、その時点で脆弱性を利用し、イメージを変更するという可能性が生じる」と記されている。
脆弱性の影響範囲
Kubernetes Image Builder のバージョン v0.1.37 以下と、前述のプロバイダーを用いて構築された、VM イメージを実行しているクラスタのケースでは、潜在的なリスクが生じている可能性がある。したがって、このアドバイザリで提供されているコマンドを使用して、Image Builder のバージョンを確認することが有効な対策となる。たとえば、git クローンに対しては make version が、コンテナイメージのリリースに関しては docker run –rm <image pull spec> version などが使用できる。
これらの脆弱性の脅威を緩和するには
Kubernetes Security Response Committee が、ユーザーに対して強く推奨するのは、Image Builder v0.1.38 以降を用いて、影響を受けるイメージ再構築することだ。なお、脆弱性 CVE-2024-9486 に対する一時的な緩和策として、影響を受ける VM 上の builder アカウントを、usermod -L builder コマンドで無効化するという方式もある。
Kubernetes とプロバイダーとの間での、脆弱性に関する線引が分かりませんが、それぞれのプロバイダーに関連する脆弱性が FIX とのことです。ご利用のチームは、ご注意ください。Kubernetes に関連する直近のブログ記事は、2024/08/21 の「Kanister の脆弱性 CVE-2024-43403 が FIX:Kubernetes クラスタの乗っ取りにいたる?」となっています。よろしければ、Kubernetes で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.