Kubernetes NodeRestriction Flaw Lets Nodes Bypass Resource Authorization
2025/06/25 gbhackers — Kubernetes の深刻なセキュリティ脆弱性 CVE-2025-4563 により、動的リソース割り当ての認証チェックをバイパスするノードが、影響を受けるクラスター上での権限昇格の可能性を得ることが明らかになった。この脆弱性は NodeRestriction アドミッション・コントローラに存在し、DynamicResourceAllocation 機能が有効化されている場合において、ポッド作成時のリソース・リクエスト・ステータスの検証に失敗するというものだ。
この脆弱性により、侵害を受けたノードは、制限されたリソースにアクセスする不正なミラー・ポッドの作成を許すようになる。ただし、この脆弱性を悪用する前提として、デフォルトでは無効化されている DynamicResourceAllocation 機能を、静的ポッドの使用と同時に有効化するというコンフィグが必要になる。
技術的な影響と深刻度
Github でのレポートによると、この脆弱性が影響を及ぼす範囲は、kube-apiserver のバージョン 1.32.0~1.32.5 および 1.33.0~1.33.1 であり、その CVSS スコアは 2.7 (Low) となる。
| Attribute | Details |
| CVE ID | CVE-2025-4563 |
| Affected Versions | kube-apiserver: v1.32.0-v1.32.5, v1.33.0-v1.33.1 |
| CVSS Score | 2.7 (Low) |
| Primary Risk | Privilege escalation via unauthorized dynamic resource access |
その攻撃ベクターが示すのは、ネットワーク・ベースの攻撃と、悪用のために必要な高権限、機密性と整合性は損なわず、可用性への影響は最小限に抑えられるという点だ。特に注目すべきは、以下の項目となる:
- 権限昇格:侵害を受けたノードは、ミラー・ポッドを作成し、リソースへの不正アクセスを可能にする。
- 限定的な露出:DynamicResourceAllocation と static Pod の同時使用するクラスターのみが脆弱となる。
- デフォルトの安全性:Kubernetes の DynamicResourceAllocation 機能はデフォルトで無効化されている。
緩和策
直ちに実施すべき対策:
- Kubernetes を、パッチ適用済みバージョン v1.32.6/v1.33.2 へと更新する。
- 迅速なパッチ適用が不可能な場合には、API サーバ・パラメータを用いて、DynamicResourceAllation を無効化する。
- 以下のコマンドを用いてクラスター・コンフィグを監査し、脆弱な設定を特定する。
kubectl get ResourceClaim --all-namespaces
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.metadata.annotations["kubernetes.io/config.mirror"] == "true") | "\(.metadata.namespace)/\(.metadata.name)"'
Azure Kubernetes Service (AKS) などのクラウド・プロバイダーは、上記の脆弱な機能を無効化しているため、この脆弱性の影響を受けない。
この脆弱性の深刻度は Low とされるが、潜在的な悪用を防ぐために、ユーザーにとって必要なことは、パッチ適用もしくは機能ゲートの無効の無効化であり、それを優先する必要がある。
この Kubernetes の脆弱性 CVE-2025-4563 の CVSS スコアは低いため、深刻ではないと思えるかもしれませんが、特定の設定条件下では権限昇格につながるとのことです。静的ポッドと DynamicResourceAllocation の同時使用が危険だと、この記事は指摘しています、ご利用のチームは、ご注意ください。よろしければ、Kubernetes で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.