Kubernetes Image Builder の脆弱性 CVE-2025-7342 が FIX:Windows ノードの管理者権限奪取

Kubernetes Image Builder Vulnerability Grants Root Access to Windows Nodes

2025/07/22 gbhackers — Kubernetes Image Builder に存在する深刻な脆弱性を悪用する攻撃者は、仮想マシン (VM) イメージに埋め込まれたデフォルト認証情報を介して、Windows ノードに対する管理者権限を取得できるという。この脆弱性 CVE-2025-7342 が影響を及ぼす範囲は、Kubernetes Image Builder バージョン v0.1.44 以前を用いて、Nutanix/OVA プロバイダーが構築されたイメージとなる。

ビルド・プロセス中に、ユーザーが明示的に認証情報を上書きしない場合において、Windows 管理者アカウントのデフォルト認証情報を、Image Builder が無効化できないという設計に原因がある。この欠陥により、前述のイメージを利用して Windows ノードを構成する Kubernetes クラスターは、不正なリモート・アクセスに直面することになる。

脆弱性概要

CVE IdentifierDescriptionCVSS Score (v3.1)Affected VersionsFixed Version
CVE-2025-7342VM images built with Kubernetes Image Builder Nutanix or OVA providers include default Windows credentials.8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)v0.1.44 and earlierv0.1.45

Image Builder により作成された Windows VM イメージを運用するユーザー組織は、使用中のイメージにデフォルト認証情報が含まれていないことを、速やかに監査する必要がある。これらの情報が変更されていないケースにおいては、リモートの攻撃者が管理者アカウントに不正アクセスし、クラスター全体の乗っ取りを引き起こす可能性が生じる。

Linux ベースのイメージや、Nutanix/OVA 以外のプロバイダーが生成したイメージは影響を受けない。ただし、脆弱な Windows ノードを含むハイブリッド環境では、クラスター全体のセキュリティが脅かされる。

使用中の Image Builder のバージョンは、ビルド・メタデータやリリース・タグ、もしくは、実行中のコンテナ・イメージのバージョン文字列により確認できる。ソースコード・ベースで導入されている場合には、ローカル・リポジトリ上で make version を実行すれば、バージョン情報を取得できる。コンテナ・イメージとしてデプロイされている場合には、たとえば、”registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44” といったタグから判別できる。

緩和策と推奨対応

最も推奨される対応策は、Image Builder v0.1.45 以降を用いて、すべての Windows VM イメージを再構築することである。この際には、WINDOWS_ADMIN_PASSWORD 環境変数または admin_password パラメータを明示的に指定する必要がある。

速やかな再構築が困難な場合には、各仮想マシンにログインし、Windows のコマンドラインから管理者パスワードを手動で変更することで、当面のリスクを緩和できる。

イメージを再生成し、再デプロイすれば、この侵害ベクターは排除され、適切な認証情報を欠いたノードはコンフィグ時に拒否されるようになる。

このインシデントが浮き彫りにするのは、自動化されたイメージ構築プロセスにおいて、強固かつ一意な認証情報の使用が重要であり、また、プロビジョニング・パイプラインへの継続的な検証機能の導入が不可欠であることだ。

特定の旧バージョンを利用し続ける環境においては、セキュリティ更新と安定性とのバランスを適切に取り、コンフィグを見直すことで、このリスクを回避すべきである。

Kubernetes Image Builder に存在する脆弱性により、VM イメージにデフォルトの認証情報が取り込まれてしまうようです。だたし、この脆弱性影響を及ぼす範囲は、Image Builder バージョン v0.1.44 以前を用いて、Nutanix/OVA が構築したイメージのみとのことです。ご利用のチームは、ご確認ください。よろしければ、Kubernetes で検索も、ご参照ください。