Üç yüksek önem dereceli Kubernetes güvenlik açığı (CVE-2023-3676, CVE-2023-3893, CVE-2023-3955), saldırganların kodu uzaktan yürütmesine ve Kubernetes kümesindeki tüm Windows düğümleri üzerinde kontrol sahibi olmasına olanak tanıyabilir.
Güvenlik açıkları hakkında
Akamai araştırmacısı Tomer Peled tarafından keşfedilen CVE-2023-3676, kümeye kötü amaçlı bir YAML dosyası uygulanarak yararlanılabilen bir komut yerleştirme güvenlik açığıdır.
Peled, “Kubernetes çerçevesi, Konteyner Ağ Arayüzünün yapılandırılmasından kapsül yönetimine ve hatta gizli işlemeye kadar temel olarak her şey için YAML dosyalarını kullanıyor” diye açıkladı.
Güvenlik açığı, Kubernetes’in varsayılan kurulumlarında kullanılabilir ve Windows düğümlerinde ayrıcalık artışına yol açan yetersiz giriş temizliğinin bir sonucudur. Yetersiz giriş temizliği ile birleştiğinde exec.Command komut enjeksiyonu için fırsat yaratır.
Peled’in gösterdiği gibi, Kubernetes API ile etkileşimde bulunmak için gereken ayrıcalıklara sahip bir saldırgan, SYSTEM ayrıcalıklarına sahip uzak Windows makinelerinde yürütülecek kodu enjekte etmek için bu kusurdan yararlanabilir.
Bu güvenlik açığı, CVE-2023-3893 ve CVE-2023-3955 olarak takip edilen ek komut ekleme güvenlik açıklarının keşfedilmesine yol açtı; bunların her ikisi de güvenli olmayan işlev çağrısından ve kullanıcı girişi temizleme eksikliğinden kaynaklanıyor.
Azaltma
Üç güvenlik açığı v1.28’in altındaki tüm Kubernetes sürümlerini etkiliyor. Kubernetes ekibi Ağustos ayı sonlarında sabit sürümler sağladı.
Yöneticilere sabit bir sürüme yükseltme yapmaları tavsiye edilir, ancak bu mümkün değilse Akamai alternatif hafifletme eylemlerinin ana hatlarını çizmiştir.
Kubernetes ekibi ayrıca Kubernetes denetim günlüklerini analiz ederek CVE-2023-3676 istismarının nasıl tespit edilebileceğini de açıkladı: “Yerleşik powershell komutlarıyla kapsül oluşturma olayları, istismarın güçlü bir göstergesidir. Gömülü powershell komutları içeren ve bölmelere monte edilen yapılandırma haritaları ve sırlar da istismarın güçlü bir göstergesidir.” (Kullanıcılardan istismar kanıtlarını kendileriyle paylaşmalarını da istediler.)
Peled ayrıca kusurun nasıl istismar edilebileceğini göstermek için kavram kanıtlı bir YAML dosyası da sağladı.
“CVE-2023-3676 düşük ayrıcalıklar gerektiriyor ve bu nedenle saldırganlar için düşük bir çıta belirliyor: Sahip olmaları gereken tek şey bir düğüme erişim ve ayrıcalıkları uygulamak” dedi.
“Yüksek etki ve kullanım kolaylığı genellikle bu saldırının (ve benzer saldırıların) kuruluşlar üzerinde görülme ihtimalinin daha yüksek olduğu anlamına gelir. Aslında bu güvenlik açığının tek sınırlayıcı faktörü kapsamıdır; günümüzde pek popüler olmayan Windows düğümleriyle sınırlıdır.”