Daha önce bildirildiği gibi NGINX’in Ingress denetleyicilerinde Kubernetes’te üç adet yüksek önem dereceli güvenlik açığı mevcuttu. Buna ek olarak Kubernetes Windows’a yönelik yüksek önemde bir güvenlik açığı daha keşfedildi.
Bu yeni güvenlik açığına 7,8 (Yüksek) önem derecesi ile CVE-2023-5528 verilmiştir. Bu yeni güvenlik açığı Kubernetes’teki üç ana şeye dayanmaktadır: Kubernetes’teki Windows düğümleri, ağaç içi depolama eklentileri, CSI sürücüsü ve kalıcı birimler.
Cyber Security News, KSOC’dan Daniel Delson’dan Kubernetes için Windows Node’lardaki kritik bir güvenlik açığını vurgulayan özel bir rapor aldı. Rapor, bu güvenlik açığının ardındaki ana sorunun, Kubernetes’e yalnızca 2019 yılında eklenen ve hala Linux benzerlerinin çok gerisinde kalan Windows Node’ların geliştirilmesindeki önemli gecikme olduğunu ortaya koydu.
Linux, nesne izinleri için kullanıcı kimliklerini ve grup kimliklerini kullanırken, Windows SID’leri, ACL’leri ve kullanıcı adlarını kullanır. Windows’ta Kubernetes’in en büyük kullanıcılarından biri olan Azure Kubernetes Hizmeti (AKS) olmasına rağmen Azure, Linux ve Windows düğümlerinin bir karışımı üzerinde çalışır.
Bu güvenlik açığına katkıda bulunan ikinci bileşen, Kubernetes Codebase içindeki farklı depolama satıcılarına özel eklentilere alternatif olarak tanıtılan Kubernetes Container Storage Interface (CSI) oldu.
Ayrıca bu depolama sağlayıcıları, kodu Kubernetes’in dışında tutmak ve Kubernetes’in bu Depolama sağlayıcılarıyla çalışmasına olanak sağlamak için Kubernetes CSI ile entegre CSI sürücüleri oluşturur.
Katkının diğer bir bileşeni, AWS Elastic Block Store (EBS – v1.27’de mevcut değil), Azure Disk (v1.27’de mevcut değil) gibi ağaç içi depolama eklentilerine yönlendirilebilen bir Kubernetes Kümesi kaynağı olan PersistentVolume idi. 27) ve diğerleri.
CVE-2023-5528 – Çalışma Prensibi
Windows Düğümleri için bir ağaç içi depolama eklentisinin giriş temizliği yetersiz olduğunda, kullanıcı zaten bölmeler ve PersistentVolumes oluşturma erişimine sahipse, kullanıcının küme düğümlerinde yönetim ayrıcalıkları elde etmesine olanak tanıyabilir.
Bu sorunun nedeni kesin olarak bilinmemekle birlikte, belirli durumlarda kullanıcıya verilen ayrıcalıkların yükseltilmesi ihtimali bulunmaktadır. Bu güvenlik açığının arkasında varsayılan nedenlerden biri, ağaç içi eklentilerin birim eklentilerine Kubernetes bileşenleriyle aynı ayrıcalıkları verebilmesiydi.
Azaltma
Bu güvenlik açığı Windows Node’larla ilişkilendirilmiştir, dolayısıyla ağaç içi depolama eklentisi mevcutsa, Kubernetes CSI sürümü 1.14’ün altındaysa, ortamda bu güvenlik açığının bulunma ihtimali vardır.
Bu güvenlik açığı ve bunun arkasındaki kavramlar hakkında ayrıntılı bilgi sağlayan, KSOC tarafından bu güvenlik açığıyla ilgili tam bir rapor yayımlandı.
Bu güvenlik açığının tehdit aktörleri tarafından istismar edilmesini önlemek için Kubernetes kullanıcılarının Kubernetes CSI v1.27’nin en son sürümünü kullanmaları önerilir.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.