Kritische Kubernetes-Schwachstelle kann für Root-Zugriff ausgenutzt werden
Im Kubernetes Image Builder wurde eine schwerwiegende Sicherheitslücke aufgedeckt, die das Potenzial birgt, Angreifern unter bestimmten Umständen Root-Zugriff zu verschaffen. Sollte sie erfolgreich ausgenutzt werden, könnte dies die Sicherheitslandschaft von Kubernetes-Umgebungen erheblich ins Wanken bringen.
Die Sicherheitslücke, die als CVE-2024-9486 mit einem CVSS-Score von 9,8 eingestuft wurde, wurde in Version 0.1.38 behoben. Die Projektverantwortlichen dankten Nicolai Rybnikar für die Entdeckung und Meldung dieser Schwachstelle.
„Es wurde eine Schwachstelle im Kubernetes Image Builder entdeckt, bei der während des Image-Build-Prozesses Standard-Anmeldeinformationen aktiviert werden“, erklärt Joel Smith von Red Hat in einer Warnmeldung. „Zusätzlich deaktivieren virtuelle Maschinen, die mit dem Proxmox-Provider erstellt wurden, diese Standard-Anmeldeinformationen nicht. Dadurch könnten Knoten, die diese Images verwenden, über die Standard-Anmeldeinformationen zugänglich sein und es wäre möglich, Root-Zugriff zu erlangen.“
Wichtig ist, dass nur Kubernetes-Cluster betroffen sind, deren Knoten VM-Images verwenden, die mit dem Image Builder-Projekt und dem Proxmox-Anbieter erstellt wurden.
Als vorübergehende Lösung wird empfohlen, das Builder-Konto auf den betroffenen VMs zu deaktivieren. Außerdem sollten Benutzer betroffene Images mit einer aktualisierten Version von Image Builder neu erstellen und diese Images erneut auf den VMs bereitstellen.
Die vom Kubernetes-Team eingeführte Korrektur ersetzt die Standard-Anmeldeinformationen durch ein zufällig generiertes Passwort, das nur während des Image-Erstellungsprozesses verwendet wird. Zudem wird das Builder-Konto am Ende des Erstellungsprozesses deaktiviert.
Die Version 0.1.38 von Kubernetes Image Builder behebt auch ein weiteres Problem (CVE-2024-9594, CVSS-Score: 6,3), das die Standard-Anmeldeinformationen bei Image-Erstellungen mit den Anbietern Nutanix, OVA, QEMU oder Raw betrifft.
Der geringere Schweregrad von CVE-2024-9594 liegt daran, dass VMs, die mit diesen Anbietern erstellte Images verwenden, nur dann betroffen sind, „wenn ein Angreifer während des Image-Erstellungsprozesses Zugang zur VM hatte und die Schwachstelle ausnutzte, um das Image zu manipulieren.“
Diese Entwicklung kommt zu einem Zeitpunkt, an dem Microsoft serverseitige Patches für drei schwerwiegende Sicherheitslücken in Dataverse, Imagine Cup und Power Platform veröffentlicht hat, die zu einer Eskalation von Berechtigungen und zur Offenlegung von Informationen führen könnten:
- CVE-2024-38139 (CVSS-Score: 8,7) – Eine fehlerhafte Authentifizierung in Microsoft Dataverse ermöglicht es einem autorisierten Angreifer, über ein Netzwerk höhere Rechte zu erlangen.
- CVE-2024-38204 (CVSS-Score: 7,5) – Eine unzureichende Zugriffskontrolle in Imagine Cup erlaubt es einem autorisierten Angreifer, über ein Netzwerk Berechtigungen zu eskalieren.
- CVE-2024-38190 (CVSS-Score: 8,6) – Fehlende Autorisierung in Power Platform ermöglicht es einem nicht authentifizierten Angreifer, sensible Informationen über eine Netzwerkangriffsfläche einzusehen.
Zudem wurde eine kritische Schwachstelle in der Open-Source-Suchmaschine Apache Solr offengelegt (CVE-2024-45216, CVSS-Score: 9,8), die einen Authentifizierungs-Bypass auf anfälligen Instanzen ermöglichen könnte.
In einer GitHub-Warnung zur Schwachstelle heißt es: „Ein falsches Ende am Ende eines Solr-API-URL-Pfads ermöglicht es, Anfragen die Authentifizierung zu umgehen, während die API-Verbindung mit dem ursprünglichen URL-Pfad aufrechterhalten wird. Dieses falsche Ende sieht zwar wie ein ungeschützter API-Pfad aus, wird jedoch nach der Authentifizierung und vor der API-Routing-Phase intern entfernt.“
Die Schwachstelle betrifft Solr-Versionen von 5.3.0 bis vor 8.11.4 sowie von 9.0.0 bis vor 9.7.0. Sie wurde in den Versionen 8.11.4 und 9.7.0 behoben.