Kötü niyetli bir saldırganın belirli koşullar altında yükseltilmiş ayrıcalıklarla uzaktan kod yürütmesine olanak tanıyan, Kubernetes'te yamalanmış yüksek önem derecesine sahip bir kusur hakkında ayrıntılar kamuoyuna açıklandı.
Akamai güvenlik araştırmacısı Tomer Peled, “Güvenlik açığı, bir Kubernetes kümesindeki tüm Windows uç noktalarında SYSTEM ayrıcalıklarıyla uzaktan kod yürütülmesine izin veriyor” dedi. “Bu güvenlik açığından yararlanmak için saldırganın kümeye kötü amaçlı YAML dosyaları uygulaması gerekir.”
CVE-2023-5528 (CVSS puanı: 7.2) olarak takip edilen eksiklik, 1.8.0 sürümü de dahil olmak üzere kubelet'in tüm sürümlerini etkiliyor. Bu sorun, 14 Kasım 2023'te yayımlanan güncellemelerin parçası olarak aşağıdaki sürümlerde giderildi:
- kubelet v1.28.4
- kubelet v1.27.8
- kubelet v1.26.11 ve
- kubelet v1.25.16
Kubernetes bakımcıları o dönemde yayınlanan bir danışma belgesinde “Kubernetes'te, Windows düğümlerinde bölmeler ve kalıcı birimler oluşturabilen bir kullanıcının bu düğümlerde yönetici ayrıcalıklarına yükselebileceği bir güvenlik sorunu keşfedildi” dedi. “Kubernetes kümeleri yalnızca Windows düğümleri için ağaç içi depolama eklentisi kullanıyorlarsa etkilenir.”
Kusurun başarılı bir şekilde kullanılması, bir kümedeki tüm Windows düğümlerinin tamamen ele geçirilmesiyle sonuçlanabilir. Benzer bir dizi kusurun daha önce web altyapı şirketi tarafından Eylül 2023'te açıklandığını belirtmekte fayda var.
Sorun, “güvenli olmayan işlev çağrısı ve kullanıcı girişi temizleme eksikliği” kullanımından kaynaklanıyor ve Kubernetes birimleri adı verilen, özellikle kullanıcıların belirterek veya oluşturarak disk bölümünü bir bölmeye bağlamasına olanak tanıyan, yerel birimler olarak bilinen bir birim türünden yararlanan özellik ile ilgilidir. bir PersistentVolume.
Peled, “Yerel birim içeren bir bölme oluştururken kubelet hizmeti (sonunda) 'MountSensitive()' işlevine ulaşacak” dedi. “İçinde 'exec.command'a bir cmd satırı çağrısı var, bu da birimin düğümdeki konumu ile bölmenin içindeki konum arasında bir sembolik bağlantı oluşturuyor.”
Bu, saldırganın YAML dosyasında özel hazırlanmış bir yol parametresine sahip bir PersistentVolume oluşturarak “&&” komut ayırıcısını kullanarak komut eklemeyi ve yürütmeyi tetikleyen bir boşluk oluşturarak yararlanabileceği bir boşluk sağlar.
Peled, eklenen yama hakkında şunları söyledi: “Enjekte etme fırsatını ortadan kaldırmak amacıyla Kubernetes ekibi cmd çağrısını silmeyi ve onu aynı işlemi 'os.Symlink()' gerçekleştirecek yerel bir GO işleviyle değiştirmeyi seçti.” yer.
Açıklama, kullanım ömrü sonu (EoL) Zhejiang Uniview ISC kamera modeli 2500-S'de (CVE-2024-0778, CVSS puanı: 9,8) keşfedilen kritik bir güvenlik kusurunun tehdit aktörleri tarafından bir Mirai botnet'i düşürmek için kullanılmasının ardından geldi. Condi adlı farklı bir botnet ile altyapı örtüşmelerini paylaşan NetKiller adlı varyant.
Akamai, “Condi botnet kaynak kodu 17 Ağustos ile 12 Ekim 2023 arasında Github'da halka açık olarak yayınlandı” dedi. “Condi kaynak kodunun aylardır mevcut olduğu göz önüne alındığında, diğer tehdit aktörlerinin de […] kullanıyorlar.”