Kubernetes’te, tehdit aktörlerinin etkilenen pod’larda yönetici ayrıcalıkları kazanmasına olanak tanıyan yeni bir ayrıcalık yükseltme güvenlik açığı keşfedildi. Bu güvenlik açığına ilişkin CVE, CVE-2023-3676 olarak atanmış ve önem derecesi 8,8 (Yüksek).
Ancak Kubernetes bu güvenlik açığını giderdi ve bu sorunu Kubelet’in en son sürümünde düzeltti. Ayrıca etkilenen ürünler de yayınlandı.
CVE-2023-3676: Ayrıcalık Yükseltmesi
Bu sorun, Windows düğümlerinde bölmeler oluşturabilen bir kullanıcının bu düğümlerde yönetici ayrıcalıklarına yükseltilebileceği Kubernetes’te mevcuttur. Bu sorunun yalnızca Kubernetes kümesinin Windows düğümlerinden oluşması durumunda etkileneceği doğrulandı.
Ek olarak kubectl komutu elde etmek düğümler -l kubernetes.io/os=pencereler Kullanımda olan herhangi bir Windows düğümü olup olmadığını kontrol etmek için kullanılabilir.
Etkilenen Ürünler ve Sabit sürümler
| Ürün | Etkilenen Ürünler | Sürümde Sabit |
| Kubelet | v1.28.0’da etkilendiv1.27.0’dan v1.27.4’e kadar etkilendiv1.26.0’dan v1.26.7’ye kadar etkilendiv1.25.0’dan v1.25.12’ye kadar etkilendi0’dan v1.24.16’ya kadar etkilendi | v1.28.1’de etkilenmedi v1.27.5’te etkilenmedi v1.26.8’de etkilenmedi v1.25.13’te etkilenmedi v1.24.17’de etkilenmedi |
Azaltma ve Tespit
Bu sorunu azaltmak için etkilenen ürünlerde CVE-2023-3676 için Kubernetes yamalarının uygulanması gerekir. Ancak bu sorunun tespiti için Kubernetes denetim günlükleri kullanılabilir.
Pod oluşturma etkinlikleri ve yerleşik PowerShell komutları, kötüye kullanımın bir başka güçlü göstergesidir. Gömülü PowerShell komutlarını içeren ve bölmelere monte edilen yapılandırma haritaları ve gizli diziler de kötüye kullanımın güçlü bir göstergesidir.
Kubernetes’in etkilenen sürümlerinin kullanıcılarının, bu güvenlik açığından yararlanılmasını önlemek için bu ürünlerin en son sürümüne yükseltmeleri önerilir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.