Red Hat OpenShift AI Servisi’nde (RHOAI) ciddi bir güvenlik açığı, ayrıcalıkları artırmaya ve tüm kümelerin kontrolünü ele geçirmeye minimum erişimi olan saldırganları sağlar.
CVE-2025-10725 olarak tanımlanan kusur, aşırı izin veren bir küme deliği atamasında bulunur.
Standart bir Jupyter not defteri hesabına sahip bir veri bilimcisi gibi düşük ayrıcalıklı bir kullanıcı, tam küme yöneticisi hakları elde etmek için bu zayıflıktan yararlanabilir.
Saldırgan yükseltildikten sonra, hassas verileri çalabilir, hizmetleri bozabilir ve temel altyapıyı kontrol edebilir ve hem platformun hem de barındırılan uygulamaların tamamen ihlaline yol açabilir.
| CVE kimliği | Etkilenen bileşen | CVSS v3.1 skoru (kırmızı şapka) |
| CVE-2025-10725 | Red Hat OpenShift AI Service (RHOAI/ODH-RHEL8-Operator, RHOAI/ODH-RHEL9-Operatör) | 9.9 (önemli) |
Güvenlik açığı, yerleşik sistemi: kimlik doğrulamalı grubu kueue-toplu kullanıcı rolüne bağlayan bir küme deliğiden kaynaklanır.
Bu, küme boyunca doğrulanmış herhangi bir kullanıcı geniş iş yaratma hakları verir. Bu izni kötüye kullanarak, bir saldırgan, küme kontrol düzlemini etkili bir şekilde ele geçirerek, yüksek ayrıcalıklarla çalışan kötü amaçlı işler yaratabilir.
Kırmızı şapka bu kusuru kritik olmaktan ziyade önemli bir hesap gerektirir, çünkü başarılı olmak için kimlik doğrulamalı bir hesap gerektirir.
Bununla birlikte, gerçek dünya riski önemlidir: birçok kuruluş, küme çapında istihdam yaratmaya ihtiyaç duymayan veri bilimcilerine veya analistlere geniş haklar vermektedir.
Bu roldeki bir saldırgan yanal olarak hareket edebilir, kalıcı kontrol kazanabilir ve hassas iş yüklerini manipüle edebilir.
Sorunu azaltmak için, yöneticiler rahatsız edici kümelenmeyi hemen kaldırmalıdır. Tüm kimlik doğrulamalı kullanıcılara geniş izin vermek yerine, en az ayrıcalıklı ilkeleri benimseyin:
- KUEUE-BATCH-USER-ROLE ile Sistem: Kimlik Doğrulanmıştır.
- İş yaratma ayrıcalıklarını yalnızca ihtiyaç duyan belirli kullanıcılara veya gruplara atayın.
- Aşırı geniş ödevlerin bulunmadığından emin olmak için diğer ClusterRoleBindings’i gözden geçirin.
Bu adımlar, idari yetenekleri güvenilir kimliklerle sınırlandırarak risk maruziyetini sınırlar ve saldırı yüzeyini azaltır.
CVE-2025-10725, hem CVE web sitesinde hem de NVD’de resmi olarak belgelenmiştir. Red Hat, ürüne özgü etki derecelendirmeleri ve iyileştirme rehberliği için yetkili kaynak olmaya devam etmektedir.
Bu güvenlik açığı, Kubernetes ortamlarında aşırı izin veren rollerin ortaya koyduğu tehlikeleri hatırlatır.
Güvenlik ekipleri, rol ve ödevleri düzenli olarak bağlama, izinleri gerçek iş gereksinimleriyle uyumlu hale getirmeli ve kalkınma, analitik ve idari görevler arasındaki katı ayrımı uygulamalıdır.
Proaktif küme yönetişimi ve uyanık izin yönetimi, ayrıcalığın artmasını önlemenin ve AI destekli platformların bütünlüğünü sağlamanın anahtarıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.