CVE-2023-32197 (CVSS 9.1): Critical RKE2 Flaw Exposes Windows Nodes to Privilege Escalation
2024/10/28 SecurityOnline — 米国連邦政府を含む高セキュリティ環境向けに開発された、Rancher の Kubernetes ディストリビューションである RKE2 に、深刻なセキュリティ脆弱性 CVE-2023-32197 (CVSS:9.1) が発見された。この脆弱性の悪用により、安全が確保されていない ACL (Access Control Lists) を介した機密ファイルへの不正アクセスが許可され、Windows ノード上の RKE2 環境で特権昇格リスクの可能性を生じる。
この脆弱性により、BUILTIN Users/NT AUTHORITY Authenticated Users グループ内の全ユーザーの、Windows 環境内におけるバイナリ/スクリプト/コンフィグ/ログなどの重要なファイルが、閲覧/変更される可能性が生じる。具体的に言うと、”C:\etc\rancher\node\password” や ”C:\var\lib\rancher\rke2\agent\logs” といったディレクトリ内のファイルが含まれるため、それらへの不正アクセスを通じて攻撃者が特権を昇格させ、影響を受けるシステムで深刻なセキュリティ・リスクが生じる。
この脆弱性 CVE-2023-32197 は、以下のファイルとディレクトリに影響を与える:
C:\etc\rancher\node\password
C:\var\lib\rancher\rke2\agent\logs\kubelet.log
C:\var\lib\rancher\rke2\data\v1.**.**-rke2r*-windows-amd64-*\bin\*
C:\var\lib\rancher\rke2\bin\*
この問題は、Windows 環境における RKE2 の展開だけに限定されており、RKE2 の Linux インストールには影響を及ぼさない。
すでに Rancher は、以下の RKE2 バージョンで、この脆弱性に対応している:
- RKE2 1.31.0
- RKE2 1.30.2
- RKE2 1.29.6
- RKE2 1.28.11
- RKE2 1.27.15
ユーザーに対して強く推奨されるのは、このセキュリティリスクを軽減するために、パッチを適用したバージョンを使用して、Windows ノードに RKE2 を新たにインストールすることである。また、Kubernetes のデプロイメント管理に不可欠なツールである Rancher Manager も、この脆弱性の影響を受ける。 すでに Rancher Manager 2.8.9/2.9.3 で、パッチが適用されたバージョンが提供されている。Rancher Manager 2.7 のユーザーにはパッチが発行されないため、より新しいマイナー・バージョンへのアップグレードが必要となる。
ただちにパッチを適用できないユーザーは、影響を受けるファイルの ACL を、手動により安全に設定するという回避策を実行できる。各ノードで管理者として PowerShell スクリプトを実行することで、より厳格な ACL が適用され、機密ファイルへの不正アクセスが制限される。この一時的な対策は、完全なパッチが適用されるまでの間、環境の安全性を確保するために有効である。
Rancher の Kubernetes ディストリビューションである RKE2 に、深刻な脆弱性が発生とのことです。ご利用のチームは、ご注意ください。昨日である 2024/10/27 には、「SUSE Rancher の脆弱性 CVE-2022-45157 が FIX:vSphere クレデンシャルを平文で保存」という記事をポストしています。ただし、2つの記事を見比べた限りでは、関連性はないようです。よろしければ、Rancher で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.