Kubernetes görüntü oluşturucusundaki kritik bir güvenlik açığı, saldırganların sanal makine görüntülerine gömülü varsayılan kimlik bilgilerini kullanarak Windows düğümlerinde kök erişimi kazanmalarını sağlayan açıklanmıştır.
CVE-2025-7342 olarak izlenen Kusur, Kubernetes Image Oluşturucu V0.1.44 ve daha önceki Nutanix veya OVA sağlayıcılarıyla oluşturulan görüntüleri etkiler.
| CVE tanımlayıcısı | Tanım | CVSS skoru (V3.1) | Etkilenen sürümler | Sabit versiyon |
| CVE-2025-7342 | Kubernetes görüntü oluşturucu Nutanix veya OVA sağlayıcılarla oluşturulan VM görüntüleri varsayılan Windows kimlik bilgilerini içerir. | 8.1 (AV: N/AC: H/PR: N/UI: N/S: U/C: H/I: H/A: H) | v0.1.44 ve daha önceki | V0.1.45 |
Sorun, görüntü oluşturucunun, kullanıcılar derleme işlemi sırasında bunları açıkça geçersiz kılmadıklarında varsayılan Windows yöneticisi kimlik bilgilerini devre dışı bırakamamasından kaynaklanmaktadır.
Sonuç olarak, bu açılmamış görüntülerden pencere düğümlerini dağıtan herhangi bir küme yetkisiz uzaktan erişime duyarlı olabilir.
Resim Oluşturucu Projesi tarafından üretilen Windows VM görüntülerini kullanan Kubernetes kümelerinin operatörleri, resimlerini hemen gömülü varsayılan kimlik bilgileri için denetlemelidir.
Bu kimlik bilgileri değişmeden kalırsa, ağ erişimi olan saldırganlar yönetici hesabı olarak oturum açabilir, ayrıcalıkları artırabilir ve potansiyel olarak tüm kümeyi tehlikeye atabilir.
Linux tabanlı görüntüler ve diğer sağlayıcılar tarafından oluşturulan görüntüler etkilenmese de, savunmasız pencerelere sahip herhangi bir karma çevre kümesi risk altındadır.
Güvenlik ekipleri, oluşturma meta verilerini kontrol ederek, sürüm etiketini inceleyerek veya sürüm dizesi için çalışan konteyner görüntüsünü sorgulayarak kullanımdaki görüntü oluşturucu sürümünü belirleyebilir.
Kaynak koduna dayalı kurulumlar için, yerel görüntü oluşturucu deposunda sürüm yapımı yürütme sürümü ortaya çıkarır.
Kapsayıcı dağıtımlar, güvenlik açığı durumunu doğrulamak için kayıt defteri.k8s.io/scl-image-builder/cluster-node-image-builder- amd64:v0.1.44 gibi görüntü etiketini inceleyebilir.
Azaltma basittir: Windows_admin_password ortam değişkeninin veya admin_password json parametresinin açık bir spesifikasyonunu gerektiren görüntü oluşturucu sürümü v0.1.45 veya üstünü kullanarak etkilenen tüm Windows VM görüntülerini yeniden oluşturun.
Yeniden inşa edemeyen kümeler, yerleşik Windows komut satırı üzerinden her VM’deki yönetici şifresini manuel olarak sıfırlayarak riski geçici olarak etkisiz hale getirebilir.
Görüntüler yeniden oluşturulduktan ve yeniden konuşlandırıldıktan sonra, varsayılan önemli vektör ortadan kaldırılır ve düğümler geçerli bir yönetici şifresi yoktur.
Yamanın ötesinde, bu olay, otomatik görüntü oluşturma sırasında her zaman güçlü, benzersiz kimlik bilgilerini belirtmenin ve sürekli doğrulamayı boru hatlarının sağlanmasına entegre etmenin öneminin altını çizmektedir.
Belirli bir görüntü oluşturucu sürümünde donduran ekipler, varsayılan yapılandırmada benzer gözetimlerden kaçınmak için kararlılığı güvenlik güncellemeleriyle dengelemelidir.
Kuruluşlar, görüntü envanterlerini doğrulamaya, güncellenmiş oluşturucu sürümünü uygulamaya ve herhangi bir sömürü belirtisi keşfedilirse güvenlik müdahalecileri ile koordinasyon yapmaya teşvik edilir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now