Kubernetes C# Client Vulnerability Exposes API Server Communication To MiTM Attack
2025/09/17 CyberSecurityNews — 公式 Kubernetes C# Client に、Medium レベルの深刻度を持つ脆弱性が発見された。この脆弱性 CVE-2025-9708 (CVSS:6.8) を悪用する攻撃者は、機密性の高い通信を傍受/操作する可能性を手にする。この不適切な証明書検証ロジックに起因する欠陥により、クライアントを利用するアプリケーションは中間者 (MiTM) 攻撃にさらされ、Kubernetes API サーバに送信される認証情報/トークンなどの機密データに侵害の恐れが生じている。
証明書検証の欠陥
この問題のコアは、”kubeconfig” ファイルで指定されたカスタム Certificate Authorities (CAs) を使用する TLS/HTTPS 接続を、Kubernetes C# Client が処理する際の実装にある。
この検証プロセスは、提示される証明書の形式を正しく確認するが、指定 CA への信頼チェーンを正しく検証しない。その結果として、ユーザーが定義したカスタム CA のみに限定することなく、有効な任意の証明機関の署名証明書を受け入れてしまう。
したがって、同一ネットワーク上に攻撃者が存在すれば、偽造した有効な署名付き証明書を提示することで、この脆弱性を悪用できる。それにより攻撃者は、Kubernetes API サーバを偽装し、中間者攻撃の拠点を構築することで、クライアントとサーバの間の通信を復号/読取/改竄できる。
この脆弱性が影響を及ぼす範囲は、Kubernetes C# Client のバージョン 17.0.13 以下である。特に脆弱とされるのは、kubeconfig の “certificate-authority” フィールドでカスタム CA を指定し、C# Client を用いて信頼されないネットワーク経由で API サーバに接続する環境である。
緩和策
最も効果的な緩和は、信頼チェーン検証を正しく適用する、パッチ済みバージョン 17.0.14 以降へのアップグレードである。
Kubernetes のアドバイザリが提示する、迅速なパッチ適用が不可能な組織に向けての暫定策は、カスタム CA 証明書を kubeconfig ファイルから、システムのメイン・トラスト・ストアに移動する方法である。
ただし、この手法では、マシン上のすべてのプロセスが、対象となる CA を信頼することになるというリスクを伴う。
- 管理者にとって必要なことは、環境内で稼働している Kubernetes C# Client の全インスタンスを特定することである。
- “kubeconfig” ファイルを精査し、”certificate-authority” フィールド使用の有無を確認する。
- クライアント・アプリケーションログを調査し、予期しない証明書警告や接続エラーを確認する。それらは、攻撃の試行や成功の兆候である可能性がある。
データ傍受や API コマンド改竄の可能性を考慮し、セキュリティ・チームが優先すべきことは、最優先に修正版クライアントを導入することである。Kubernetes 環境を、この成りすまし脅威から守るためには、プロアクティブな監査と迅速なパッチ適用が不可欠である。
Kubernetes の公式 C# Client に、証明書の不適切な検証という脆弱性が存在するようです。特に、”kubeconfig” で指定したカスタム CA を使う場合に、証明書の信頼チェーンを適切に確認せず、有効な証明書であれば受け入れてしまうという問題が生じています、そのため、攻撃者が有効に見える偽の証明書を提示すると、API サーバに成りすまして通信の改竄などが可能になってしまいます。結果として、送信される認証情報やトークンなどの重要データが中間者攻撃の対象になってしまうと、この記事は指摘しています。よろしければ、Kubernetes で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.