Apache Cloudstack kusuru, saldırganların ayrıcalıklı eylemleri yürütmesine izin verir


Önde gelen açık kaynaklı bulut yönetim platformu olan Apache CloudStack, birden fazla kritik güvenlik açıklığını ele almak için yeni uzun vadeli destek (LTS) sürümlerinin (4.19.3.0 ve 4.20.1.0) derhal bulunduğunu duyurdu.

10 Haziran 2025 tarihinde PMC üyesi Pearl Dsilva tarafından yayınlanan danışmanlık, ikisi kritik olarak derecelendirilmiş ve kullanıcı verileri ve altyapı bütünlüğü için önemli riskler oluşturan beş farklı güvenlik açıkını vurgulamaktadır.

Kritik güvenlik açıkları ve istismar senaryoları

En şiddetli sorunlar arasında CVE-2025-26521Cloudstack projelerinde CKS tabanlı Kubernetes kümelerini etkileyen kritik bir kusur.

– Reklamcılık –
Google Haberleri

Bir kullanıcı bir Kubernetes kümesi oluşturduğunda, ‘Kubeadmin’ kullanıcısının API ve gizli anahtarları kümenin gizli yapılandırmasında saklanır.

Kümeye erişimi olan proje üyeleri, bu kimlik bilgilerini alabilir, küme yaratıcısını taklit ederek ve ayrıcalıklı eylemler yürütebilir.

Bu, gizliliği, bütünlüğü ve kullanılabilirliği ihlal ederek yaratıcı kaynaklarından tam bir uzlaşmaya yol açabilir.

Başka bir kritik güvenlik açığı, CVE-2025-47713kök etki alanındaki etki alanı yönetici kullanıcılarının yönetici rol hesaplarının şifrelerini sıfırlamasına izin verir.

4.10.0.0 ila 4.20.0.0 sürümlerinde bulunan bu ayrıcalık artış kusuru, saldırganların yüksek ayrıcalıklı hesaplar üzerinde kontrol altına almasını, veri kaybı, altyapı bozulması ve hassas APIS1’e yetkisiz erişimin üstlenmesini sağlar.

Bu sorunları düzeltmek için kullanıcıların 4.19.3.0 veya 4.20.1.0 sürümüne yükseltme istenir.

Yamalar, rol tipi hiyerarşisi ve API ayrıcalık karşılaştırması hakkında sıkı bir doğrulama getirir. Gibi yeni etki alanı seviyesi ayarları role.types.allowed.for.operations.on.accounts.of.same.role.type Ve allow.operations.on.users.in.same.accountHassas operasyonları yetkili rollerle daha da kısıtlar.

CVE-2025-26521’den etkilenen CKS kullanıcıları için aşağıdaki iyileştirme adımları önerilir:

  1. Bir Hizmet Hesabı Oluşturun:
    Adlandırma Sözleşmesini kullanarak “Project Kubernetes Hizmet Rolü” ile yeni bir hesap oluşturun kubeadmin-.
  2. Projeye ekle:
    Hizmet hesabını ilgili proje ile ilişkilendirin.
  3. API ve Gizli Anahtarlar Oluşturun:
    Bu hesabın varsayılan kullanıcısı için yeni anahtarlar oluşturun.
  4. Kubernetes küme sırrını güncelle:
    Kubernetes kümesindeki mevcut sırrı, yeni kimlik bilgileriyle değiştirerek değiştirin kubectl Komutlar: Metin./kubectl --kubeconfig kube.conf -n kube-system delete secret cloudstack-secret ./kubectl --kubeconfig kube.conf -n kube-system create secret generic cloudstack-secret --from-file=/tmp/cloud-config rm /tmp/cloud-config
  5. Orijinal Kullanıcı Anahtarlarını Rejenere:
    Önceki kimlik bilgilerini geçersiz kılmak için orijinal kullanıcı hesabının API ve gizli anahtarlarını yeniden oluşturun.

Yetkisiz şablon/ISO erişimi gibi diğer güvenlik açıkları için (CVE-2025-30675), API/Gizli Anahtarlara Domain Yöneticileri (CVE-2025-47849) ve kota ile ilgili ayrıcalık sorunları (CVE-2025-22829), en son sürüme yükseltme birincil iyileştirme adımıdır.

Bu düzeltmeler uygun alan çözünürlüğü, katı rol validasyonu ve geliştirilmiş ayrıcalık yönetimi sağlar.

Risk faktörü tablosu ve güvenlik sonuçları

Aşağıdaki tablo, her bir güvenlik açığı ile ilişkili risk faktörlerini özetlemektedir:

CVE kimliğiŞiddetEtkilenen sürümlerRisk Tanımı
CVE-2025-26521Eleştirel4.17.0.0-4.19.2.0, 4.17.0.0-4.20.1.0Proje Üyeleri, Yaratıcı’nın API/Gizli Anahtarlarına erişebilir, bu da kimliğe bürünme ve kaynak kaybına yol açabilir
CVE-2025-30675Düşük4.0.0–4.19.2.0, 4.0.0-4.20.0.0Etki alanı/kaynak yöneticileri, hassas meta verileri ortaya çıkararak alan adlarının dışındaki şablonları/ISO’ları görüntüleyebilir
CVE-2025-47713Eleştirel4.10.0.0-4.19.2.0, 4.10.0.0-4.20.0.0Etki alanı yöneticileri yönetici şifrelerini sıfırlayabilir ve ayrıcalık artış ve sistem uzlaşmasını sağlayabilir
CVE-2025-47849Ilıman4.10.0.0-4.19.2.0, 4.10.0.0-4.20.0.0Etki alanı yöneticileri Yönetici API/Gizli Anahtarlara erişebilir, kimliğe bürünme ve yetkisiz erişim riski taşıyabilir
CVE-2025-22829Düşük4.20.0.0Kimlik doğrulanmış kullanıcılar, herhangi bir hesap için kota e -postalarını etkinleştirebilir/devre dışı bırakabilir ve yapılandırmaları listeleyebilir

Danışma, 4.20.0.0’dan daha eski sürümleri çalıştıran kullanıcıların bu güvenlik açıklarına maruz kalmamak için doğrudan 4.20.1.0’a atlaması gerektiğini vurgulamaktadır.

4.19.3.0 ve 4.20.1.0 sürümleri için resmi kaynak kodu ve sürüm notları Apache CloudStack proje web sitesinde bulunabilir.

Bu güvenlik güncellemeleri, bulut ortamlarında titiz erişim kontrolü ve ayrıcalık yönetiminin önemini zamanında hatırlatıyor.

Apache Cloudstack kullanan kuruluşlar, en son sürümlere yükseltmeye öncelik vermeli ve sömürü riskini azaltmak için önerilen iyileştirme adımlarını izlemelidir.

Yamalı sürümlerde yeni alan düzeyi ayarlarının ve katı doğrulama kontrollerinin tanıtılması, kuruluşların sağlam bir güvenlik duruşunu korumasına, hassas verileri ve kritik altyapıyı korumasına yardımcı olacaktır.

Bilgilendirilmiş ve proaktif kalarak, yöneticiler çevrelerini gelişen tehditlerden koruyabilir ve bulut güvenliğindeki en iyi uygulamalara uymayı sağlayabilir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link