2024/10/27 SecurityOnline — 先日に SUSE Rancher セキュリティ・チームが発行したのは、深刻度の高い脆弱性 CVE-2022-45157 (CVSS:9.1) 関するアドバイザリである。この Rancher の脆弱性により、vSphere の CPI (Cloud Provider Interface) と CSI (Container Storage Interface) における認証情報の処理に、深刻な影響が生じるという。この欠陥により、特定の Rancher コンフィグレーションにおいて、機密性の高い認証情報への不正アクセスにいたる恐れがある。
Kubernetes を導入する企業で人気を博している、オープンソース・コンテナ管理プラットフォームである Rancher だが、コンフィグ・オブジェクト内にプレーンテキストで、vSphere CPI/CSI 認証情報を保存していることが判明した。このアドバイザリには、「vSphere の CPI/CSI 認証情報を、Rancher が保存する方法に脆弱性が見つかった。この問題により、vSphere CPI/CSI パスワードが。Rancher 内のプレーンテキスト・オブジェクトに保存されてしまう」と記されている。
vSphere 環境でクラスターを導入しているユーザーに対して、特に Rancher の UI/Cluster Templates/ Terraform を使用しているユーザーに対して、この脆弱性は影響を及ぼす。 Rancher は、以下のオブジェクトから、それらの認証情報にアクセスできることを確認している。この脆弱性は、権限を持つユーザーが認証情報にアクセスできる、下流のクラスタ・ファイル・システムにも影響を及ぼす。
- spec.rkeConfig.chartValues.rancher-vsphere-cpi
- spec.rkeConfig.chartValues.rancher-vsphere-csiprovisioning.cattle.io
- rke.cattle.io.rkecontrolplane
すでに Rancher は、パッチ・バージョン 2.8.9/2.9.3 をリリースし、この欠陥に対処している。このアドバイザリが、影響を受けるユーザーに対して強く推奨するのは、これらのパッチ・バージョンのいずれかへと、直ちに Rancher 更新する必要性である。さらに、更新後において、SUSE が提供する自動スクリプトを実行することで、残されているリスクを軽減する必要がある。具体的に言うと、Rancher のローカル・クラスタ内に存在する、脆弱な vSphere クラスタの認証情報によるリスクを自動的に軽減するために、前述のスクリプトを実行する必要が生じる。
このスクリプトにより、機密性の高い認証情報はプレーンテキストからシークレットへと移行し、fleet-default 名前空間に安全に保存される。また、クラスタ・コンフィグをバックアップし、必要に応じてロールバックを簡素化することで、繰り返して検証を実行できる。SUSE がユーザーに推奨するのは、更新後に provisioningprebootstrap 機能フラグを有効化することである。この処理は、更新されたクラスタだけではなく、新たにインストールされたクラスタにおいて不可欠である。
残念ながら、信頼できるユーザーだけにアクセスを制限する以外に、代替の回避策は存在しない。このアドバイザリには、「信頼できるユーザーだけに Rancher へのアクセスを許可する以外に、この脆弱性に対する直接的な回避策は存在しない。それ以外の方法は、Rancher をパッチ適用済みバージョンに更新することだ」と記されている。特に、Rancher 2.7 には、この脆弱性に対するバックポート・パッチが提供されない。したがって、vSphere プロビジョニングに依存している、Rancher 2.7 のユーザーに対して推奨されるのは、パッチ適用済みバージョンへと移行し、このリスクに対処することである。
SUSE Rancher のコンフィグ・オブジェクトに、vSphere CPI/CSI 認証情報がプレーンテキストで保存されるという問題が発見されました。おそらく、情報漏洩の脆弱性に分類されると思いますが、すでに CVE-2022-45157 が採番されているという状況です。ご利用のチームは、ご注意ください。よろしければ、カテゴリ Container も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.