Kubernetes’te keşfedilen birbiriyle ilişkili üç yüksek önem dereceli güvenlik açığı, bir küme içindeki Windows uç noktalarında yükseltilmiş ayrıcalıklarla uzaktan kod yürütülmesini sağlamak için kullanılabilir.
CVE-2023-3676, CVE-2023-3893 ve CVE-2023-3955 olarak takip edilen sorunlar, 8,8 CVSS puanı taşıyor ve Windows düğümlerine sahip tüm Kubernetes ortamlarını etkiliyor. Akamai’nin 13 Temmuz 2023’te yaptığı sorumlu açıklamanın ardından, güvenlik açıklarına yönelik düzeltmeler 23 Ağustos 2023’te yayımlandı.
Akamai güvenlik araştırmacısı Tomer Peled, The Hacker News ile paylaşılan teknik bir yazıda, “Güvenlik açığı, bir Kubernetes kümesindeki tüm Windows uç noktalarında SİSTEM ayrıcalıklarıyla uzaktan kod yürütülmesine izin veriyor.” dedi. “Bu güvenlik açığından yararlanmak için saldırganın kümeye kötü amaçlı bir YAML dosyası uygulaması gerekir.”
Amazon Web Services (AWS), Google Cloud ve Microsoft Azure, Kubelet’in aşağıdaki sürümlerini etkileyen hatalara yönelik öneriler yayınladı:
- kubelet < v1.28.1
- kubelet < v1.27.5
- kubelet < v1.26.8
- kubelet < v1.25.13 ve
- kubelet < v1.24.17
Özetle, CVE-2023-3676, ‘uygulama’ ayrıcalıklarına sahip bir saldırganın, Kubernetes API ile etkileşime girmesini mümkün kılan, SYSTEM ayrıcalıklarına sahip uzak Windows makinelerinde yürütülecek rastgele kodu enjekte etmesine olanak tanır.
Peled, “CVE-2023-3676 düşük ayrıcalıklar gerektiriyor ve bu nedenle saldırganlar için düşük bir çıta belirliyor: Sahip olmaları gereken tek şey bir düğüme erişim ve ayrıcalıkları uygulamak.” dedi.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
Güvenlik açığı, CVE-2023-3955 ile birlikte, giriş temizleme işleminin yapılmaması sonucunda ortaya çıkıyor ve bu sayede, özel hazırlanmış bir yol dizesinin bir PowerShell komutuna parametre olarak ayrıştırılmasına olanak tanıyarak, etkin bir şekilde komut yürütülmesine yol açıyor.
Öte yandan CVE-2023-3893, Konteyner Depolama Arayüzü (CSI) proxy’sinde, kötü niyetli bir aktörün düğümde yönetici erişimi elde etmesine olanak tanıyan bir ayrıcalık yükseltme durumuyla ilgilidir.
Kubernetes Güvenlik platformu ARMO, geçen ay “Bu güvenlik açıkları arasında yinelenen bir tema, Kubelet’in Windows’a özel taşınmasında giriş temizliğinde yaşanan bir hatadır” dedi.
“Özellikle, Pod tanımlarını işlerken, yazılım kullanıcı girişlerini yeterince doğrulamakta veya arındırmakta başarısız oluyor. Bu gözetim, kötü niyetli kullanıcıların, işlendiğinde ayrıcalık yükseltme gibi istenmeyen davranışlara yol açan ortam değişkenleri ve ana bilgisayar yollarıyla bölmeler oluşturmasına olanak tanıyor.”