CVE-2024-56513: Karmada Vulnerability Grants Attackers Control of Kubernetes Systems
2025/01/03 SecurityOnline — クラウド・ネイティブ・アプリケーションの管理を容易にするプラットフォーム Karmada (Kubernetes Armada) に、深刻度の高い脆弱性 CVE-2024-56513 (CVSSv4:8.7) が発見された。この脆弱性により、Karmada の PULL モード・クラスターを利用するシステムに、深刻な脅威がもたらされるという。
脆弱性 CVE-2024-56513 は、”karmadactl register” コマンドで登録された、PULL モード・クラスターに付与される過剰な権限に起因する。それらのクラスターは、マルチ・クラウド/ハイブリッド・クラウドにおけるアプリケーション管理の合理化を目的とするものであり、重要なコントロール・プレーン・リソースを公開してしまうというリスクが生じる。karmada エージェントとして認証が可能な攻撃者であれば、その権限を悪用することで、すべてのメンバー・クラスターを取り込んだ、フェデレーション・システム全体の管理権限を不正に取得できるという。
このような権限の昇格により、以下のような悪意のアクションが引き起こされる可能性がある。
- 機密性の高いコンフィグ・データへの不正アクセス。
- アプリケーション・トラフィック・スケジューリングの操作/中断。
- メンバー・クラスター全体を横断する新たな攻撃。
この脆弱性は、Karmada のバージョン 1.12.0 未満に影響を及ぼす。すでに Karmada は、バージョン 1.12.0 をリリースし、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、最新のバージョンへとアップグレードすることだ。
なお、Karmada のコンポーネント権限ドキュメントには、速やかなアップグレードが不可能なユーザーを対象として、PULL モード・クラスターのアクセス権限を制限するためのガイダンスが記載されている。このコンフィグ実装することで、完全なアップグレードが可能になるまでの期間において、悪用のリスクを軽減できる。
Karmada (Kubernetes Armada) の脆弱性が FIX しましたが、PULL モード・クラスターに付与される過剰な権限に起因するものとのことです。ご利用のチームは、ご注意ください。よろしければ、Kubernetes で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.