Red Hat, OpenShift GitOps’ta kimliği doğrulanmış kullanıcıların bir kümenin tam kontrolünü ele geçirmesine olanak verebilecek önemli bir güvenlik açığını açıkladı.
CVE-2025-13888 tanımlayıcısının atandığı bu güvenlik açığı, ad alanı yöneticilerinin ayrıcalıklarını amaçlanan kapsamın ötesine yükseltmelerine ve potansiyel olarak sistemin tamamına kök erişimi elde etmelerine olanak tanır.
| Kategori | Bilgi |
|---|---|
| CVE Kimliği | CVE-2025-13888 |
| Satıcı Önem Derecesi | Önemli |
| CVSS v3.1 Puanı | 9.1 (Kritik) |
| Saldırı Vektörü | Ağ (AV:N) |
Red Hat, ciddiyeti “Kritik” yerine “Önemli” olarak derecelendirse de, ad alanı yöneticilerine tam olarak güvenilmeyen ortamlar için teknik etki ciddidir.
Root Erişimine Teknik Yükseltme
Güvenlik açığı, OpenShift GitOps’un ArgoCD Özel Kaynaklarına ilişkin izinleri işleme biçimindeki bir sorundan kaynaklanıyor.
Standart bir kurulumda, ad alanı yöneticileri, kendi özel ad alanları içindeki kaynakları yönetmekle sınırlıdır.
Ancak bu kusur, kötü niyetli bir yöneticinin, sistemi aldatarak kendisine diğer ad alanlarında yükseltilmiş izinler vermesini sağlayacak belirli Özel Kaynaklar oluşturmasına olanak tanır.
Bu yükseltilmiş izinler alındıktan sonra saldırgan, denetleyici düğümlerinde çalışabilen ayrıcalıklı iş yüklerini dağıtabilir.
Bu onlara kümenin tamamına etkili bir şekilde kök erişimi vererek güvenlik kontrollerini atlamalarına, hassas verilere erişmelerine veya operasyonları aksatmalarına olanak tanır.
Saldırı vektörü “Ağ” bazlı olarak sınıflandırılır. Ancak, istismarın saldırganın halihazırda geçerli ad alanı yöneticisi kimlik bilgilerine sahip olmasını gerektirdiğini unutmamak önemlidir.
Bu gereksinim, tehdidi harici, kimliği doğrulanmamış saldırganlar yerine içeriden gelen tehditlere veya güvenliği ihlal edilmiş yönetici hesaplarına sınırlar.
Red Hat, OpenShift GitOps’un desteklenen sürümlerinde bu güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Düzeltme, sistemin ArgoCD kaynakları oluştururken izinleri doğru şekilde doğrulamasını sağlayarak ayrıcalık yükseltme yolunu önler.
OpenShift GitOps 1.16, 1.17 veya 1.18 sürümlerini kullanan kuruluşlar mevcut yamaları hemen uygulamalıdır.
Güvenlik ekiplerine, küme yapılandırmalarını denetlemeleri ve ad alanı yöneticisi ayrıcalıklarına sahip kullanıcıların listesini incelemeleri önerilir.
Bu istismar, kimliği doğrulanmış bir kullanıcının haklarını kötüye kullanmasına dayandığından, yönetimsel erişimin sıkı bir şekilde sınırlandırılması ve izlenmesi, yazılım güncellemelerinin uygulanmasının yanı sıra kritik bir savunma katmanı olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.