Kubernetes C# istemci kütüphanesinde yakın zamanda açıklanan bir güvenlik açığı, saldırganların API sunucusuna karşı ortada insan (MITM) saldırıları yapmasına izin verir.
Kusur, özel sertifika yetkilileri (CAS) kullanılırken uygunsuz sertifika doğrulamasından kaynaklanmaktadır.
Kuruluşlar konteyner düzenlemesi için Kubernetes’e giderek daha fazla güvendikçe, bu zayıflık, kritik kontrol düzlemi trafiğinin müdahalesini veya değiştirilmesini sağlayabilir, potansiyel olarak küme bütünlüğünü ve gizliliği tehlikeye atabilir.
Güvenlik açığına genel bakış
Kök neden, müşterinin Kubeconfig dosyasında belirtilen özel CA sertifikalarını ele almasında yatmaktadır.
Kütüphane, tam güven zincirini doğrulamak yerine, ara sertifikaları veya iptal durumunu doğrulamadan özel CA tarafından imzalanan uygun şekilde yapılandırılmış herhangi bir sertifikayı kabul eder.
| CVE | Tanım | CVSSV3.1 puanı | Etkilenen sürümler |
| CVE-2025-9708 | Özel CA modunda uygunsuz sertifika doğrulaması, sahte sertifikaları kabul ederek MITM saldırılarına izin verebilir. | 6.8 |
Bir kamu ağında veya tehlikeye atılmış bir yönlendirici gibi TLS trafiğini engelleyebilen bir saldırgan, müşterinin kabul edeceği sahte bir sertifika sunabilir.
Güvenilir bir kez, saldırgan uygulama ve Kubernetes API sunucusu arasındaki trafiği şifresini çözebilir ve yeniden şifreleyebilir, bu da API isteklerinin ve yanıtlarının kimlik hırsızlığı, komut enjeksiyonu veya manipülasyonunu sağlar.
V17.0.14’ten önceki Kubernetes C# istemcisinin tüm sürümleri, Kubeconfig dosyasında özel bir CA ile yapılandırıldığında savunmasızdır.
Bu istemciyi uzaktan yönetim konsolları, harici CI/CD boru hatları veya bulut tabanlı geliştirme iş istasyonları gibi güvenilmeyen ağlarda kullanan sistemler en yüksek riskle karşı karşıyadır.
Ağ segmentasyonu yetersizse veya saldırganlar yanal olarak dönebiliyorsa iç ortamlar bile risk altında olabilir.
Güvenlik açığı, ağ saldırısı vektörünü yansıtan, gizlilik ve bütünlük üzerinde yüksek etkiyi yansıtan, ancak minimum ayrıcalıklar ve bazı kullanıcı etkileşimi gerektiren bir CVSS V3.1 skoru 6.8 (orta) taşır.
Güvenlik açığını gidermek için Kubernetes C# istemcisini en kısa sürede 17.0.14 veya daha geç sürümlere yükseltin.
Bu sürüm, güvensiz sertifikaların tam zincir doğrulamasını ve reddedilmesini sağlamak için sertifika doğrulama mantığını düzeltir.
Geçici bir önlem olarak, özel CA sertifikalarını işletim sisteminin güvenilir kök deposuna taşıyın ve müşterinin özel CA modunu devre dışı bırakın.
Bu yaklaşımın CA sistem çapında güveneceğini unutmayın, bu da diğer uygulamalar aynı CA’yı kullanırsa ek risk getirebilir.
Yöneticiler, Sertifika-Yetkili alanı için Kubeconfig dosyalarını denetlemeli ve beklenmedik TLS hataları veya uyarıları için istemci günlüklerini gözden geçirmelidir.
Kusur @Elliott-Beach tarafından bildirildi ve Boshi Lian, Brendan Burns ve Rita Zhang’ın koordineli çabalarıyla sabitlendi ve müşterinin özel CA senaryolarında güven zinciri validasyonunu düzgün bir şekilde zorlamasını sağladı.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.