Güvenlik araştırmacıları, Kubernetes kapsülü V0.10.3 ve daha önceki sürümlerde, kimliği doğrulanmış kiracı kullanıcılarının sistem ad alanlarına keyfi etiketler enjekte etmelerini sağlayan ve temelde çok kiracılı izolasyonu kırmasına izin veren kritik bir güvenlik açığını açıkladılar.
CVSS skoru 9.9 ile CVE-2025-55205 olarak izlenen güvenlik açığı, saldırganların güvenlik sınırlarını atlamasını ve kiracılar arası kaynaklara erişmesini sağlayarak potansiyel olarak küme çapında uzlaşmaya yol açar.
Güvenlik Açığı Genel Bakış
Yeni açıklanan güvenlik açığı, kapsülün ad alanı doğrulaması Webhook mantığında önemli bir güvenlik kusurunu temsil eder.
PKG/WebHook/Namespace/Doğrulama/Patch.go dosyasında bulunan güvenlik açığı, yalnızca bir ad alanı zaten bir kiracı etiketi içerdiğinde kiracı sahipliğini doğrulayan yetersiz koşullu kontrollerden kaynaklanır.
Bu tasarım kusuru, varsayılan kiracı etiketleri olmayan sistem ad alanlarının yetkisiz etiket enjeksiyonuna karşı savunmasız hale geldiği tehlikeli bir baypas mekanizması oluşturur.
Saldırı vektörü, daha önce ifşa edilen CVE-2024-39690’ı yansıtır, ancak benzer yıkıcı etkiler elde etmek için sahibi referans manipülasyonu yerine etiket enjeksiyonu kullanır.
Kimliği doğrulanmış kiracı kullanıcıları, bu zayıflık etiketlerini Kube-System, Varsayılan ve Kapsül-Sistem de dahil olmak üzere kritik sistem ad alanlarına enjekte etmek için bu zayıflıktan yararlanabilir ve bu korunan ortamları etkili bir şekilde ele geçirir.
Güvenlik açığı, kötü niyetli aktörlerin ilk önce rastgele etiketleri korumasız sistem ad alanlarına enjekte ettikleri çok aşamalı bir saldırı sağlar, daha sonra kiracılar arası kaynaklara yetkisiz erişim elde etmek için tenantresource seçicilerinden yararlanır.
Bu sömürü yolu, saldırganların kota kısıtlamalarını atlatmasına, ağ politikalarını atlamalarına ve potansiyel olarak hassas küme çapında yapılandırmalara ve sırlara erişmesine olanak tanır.
Güvenlik araştırmacıları, Kube-System ad alanına başarılı bir şekilde etiket enjekte eden ve daha sonra tehlikeye atılan etiketleme sisteminden yararlanmak için kötü niyetli tentresource nesneleri oluşturan bir kavram kanıtı kullanarak saldırıyı gösterdi.
Saldırı yalnızca temel RBAC izinleri gerektirir ve yama ad alanı izinleri olan herhangi bir kimliği doğrulanmış kiracı kullanıcısı tarafından yürütülebilir.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-55205 |
| CVSS Puanı | 9.9 (kritik) |
| Etkilenen sürümler | Kapsül ≤ 0.10.3 |
| Yamalı versiyon | 0.10.4 |
| Saldırı vektörü | Ağ |
| İmtiyazlar Gerekli | Düşük |
| Saldırı Karmaşıklığı | Düşük |
| Kapsam | Değişen |
Bu güvenlik açığı, özellikle kiracı izolasyonu için kapsüle dayanan bulut hizmet sağlayıcılarını ve kuruluşları etkileyen çok kiracı Kubernetes ortamları için ciddi riskler oluşturmaktadır.
Ayrıcalık yükselme, veri eksfiltrasyonu ve kaynak kotası bypass potansiyeli, bunu hemen dikkat gerektiren yüksek öncelikli bir güvenlik endişesi haline getirir.
Kubernetes kapsülünü çalıştıran kuruluşlar, bu kritik güvenlik açığını ele almak için derhal 0.10.4 sürümüne yükseltilmelidir.
Bu kusurun şiddeti, küme çapında uzlaşma potansiyeli ile birleştiğinde, çok kiracılı güvenlik mimarilerinde sağlam doğrulama mekanizmalarının öneminin altını çizmektedir.
Güvenlik ekipleri mevcut kapsül dağıtımlarını gözden geçirmeli ve potansiyel sömürü girişimlerini tespit etmek için uygun izlemeyi uygulamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!