CVE-2024-10220: Kubernetes Vulnerability Allows Arbitrary Command Execution
2024/11/20 SecurityOnline — Kubernetes に存在する、深刻な脆弱性 CVE-2024-10220 (CVSS:8.1) が明らかにされた。この脆弱性は、特定バージョンの kubelet を実行している、Kubernetes クラスタに影響を与えるものであり、悪用に成功した攻撃者は、コンテナの境界外での任意のコマンド実行の可能性を得る。
この脆弱性により、Git リポジトリをポッドにクローンする機能である、gitRepo ボリュームの悪用が可能になる。したがって攻撃者は、対象のリポジトリ内の hooks フォルダを操作することで、意図したコンテナの制限を超えたコマンド実行を可能にする。
Kubernetes のアドバイザリでは、「この脆弱性を悪用する攻撃者は、対象のリポジトリの hooks フォルダを利用して、コンテナの境界外で任意のコマンドを実行する。悪用が成功すると、機密データへの不正アクセスや特権の昇格に加えて、Kubernetes クラスタ全体への侵害などにいたる可能性が生じる」と説明されている。
影響を受ける kubelet のバージョンは以下の通りである:
- v1.30.0〜v1.30.2
- v1.29.0〜v1.29.6
- v1.28.11 以下
Kubernetes ユーザーに推奨されるのは、修正済みのバージョンへとクラスタをアップグレードし、この脆弱性を緩和することだ。
今回のアップグレードにより、gitRepo ボリュームが非推奨となったことで、この機能からの移行が推奨されている。Kubernetes が推奨するのは、init コンテナを使用して Git クローン操作を行い、その結果として得られるディレクトリを、ポッドのコンテナにマウントすることだ。
2024年7月の初旬に公表された、この脆弱性が浮き彫りにするのは、セキュリティ・アップデートに関する情報を常に把握し、必要なパッチを迅速に適用することの重要性である。
Kubernetes の脆弱性が FIX しました。Git リポジトリを、ポッドにクローンする際に生じるエラーとのことで、これも利便性と安全性のトレードオフの話ですね。ご利用のチームは、ご注意ください。よろしければ、Kubernetes で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.