Kubernetes’teki kritik bir güvenlik açığı, Kubernetes Image Builder projesiyle oluşturulan bir görüntüyü çalıştıran sanal makineye yetkisiz SSH erişimine izin verebilir.
Kubernetes, uygulamaların çalıştırılmasına yönelik hafif ortamlar olan sanal konteynerlerin dağıtımını, ölçeklendirilmesini ve çalıştırılmasını otomatikleştirmeye yardımcı olan açık kaynaklı bir platformdur.
Kubernetes Image Builder ile kullanıcılar, Kubernetes ortamını çalıştıran Proxmox veya Nutanix gibi çeşitli Küme API’si (CAPI) sağlayıcıları için sanal makine (VM) görüntüleri oluşturabilir. Bu VM’ler daha sonra Kubernetes kümesinin parçası haline gelen düğümleri (sunucuları) kurmak için kullanılır.
Kubernetes topluluk forumlarındaki bir güvenlik tavsiyesine göre, kritik güvenlik açığı Proxmox sağlayıcısıyla Image Builder sürüm 0.1.37 veya daha önceki sürümlerde oluşturulan VM görüntülerini etkiliyor.
Sorun şu anda CVE-2024-9486 olarak izleniyor ve görüntü oluşturma işlemi sırasında etkinleştirilen ve daha sonra devre dışı bırakılmayan varsayılan kimlik bilgilerinin kullanılmasından oluşuyor.
Bunu bilen bir tehdit aktörü, bir SSH bağlantısı üzerinden bağlanabilir ve bu kimlik bilgilerini kullanarak savunmasız VM’lere kök ayrıcalıklarıyla erişim sağlayabilir.
Çözüm, etkilenen VM görüntülerini Kubernetes Image Builder v0.1.38 veya sonraki sürümünü kullanarak yeniden oluşturmaktır; bu sürüm, derleme işlemi sırasında rastgele oluşturulmuş bir parola belirler ve işlem tamamlandıktan sonra varsayılan “oluşturucu” hesabını da devre dışı bırakır.
Şu anda yükseltme mümkün değilse, geçici bir çözüm şu komutu kullanarak inşaatçı hesabını devre dışı bırakmaktır:
usermod -L builder
Azaltma hakkında daha fazla bilgi ve sisteminizin etkilenip etkilenmediğini nasıl kontrol edeceğiniz bu GitHub sayfasında mevcuttur.
Bülten ayrıca aynı sorunun Nutanix, OVA, QEMU veya raw sağlayıcılarla oluşturulan görseller için de mevcut olduğu, ancak başarılı bir kullanım için ek gereksinimler nedeniyle orta önem derecesine sahip olduğu konusunda uyarıyor. Güvenlik açığı artık CVE-2024-9594 olarak tanımlanıyor.
Spesifik olarak, kusur yalnızca oluşturma işlemi sırasında kullanılabilir ve bir saldırganın görüntü oluşturan VM’ye erişmesini ve varsayılan kimlik bilgilerinin kalıcı olması için eylemler gerçekleştirmesini gerektirir, böylece VM’ye gelecekte erişime izin verilir.
Aynı düzeltme ve azaltma önerisi CVE-2024-9594 için de geçerlidir.