用於自動化部署、擴展和管理容器化應用程式的開源平台 Kubernetes 中發現了一個嚴重漏洞,可能允許未經授權的使用者透過 SSH 存取由 Kubernetes Image Builder 專案建立的虛擬機映像檔。
Kubernetes Image Builder 讓使用者能夠為各種叢集 API(CAPI)供應商(如 Proxmox 或 Nutanix)創建運行 Kubernetes 環境的虛擬機(VM)映像檔。這些虛擬機隨後用於設置 Kubernetes 叢集的節點(伺服器)。
根據 Kubernetes 社群論壇的安全公告,該嚴重漏洞影響了使用 Image Builder 0.1.37 版本或更早版本的 Proxmox 供應商所建立的虛擬機映像檔。
該漏洞(CVE-2024-9486)源於映像檔建立過程中啟用的預設憑證未在過程結束後停用。攻擊者可利用這些憑證透過 SSH 連接,並以 root 權限存取受影響的虛擬機。
解決方案是使用 Kubernetes Image Builder 0.1.38 版本或更新版本重建受影響的虛擬機映像檔。新版本在建立過程中會設置隨機生成的密碼,並在完成後停用預設的「builder」帳戶。
如果目前無法升級,臨時解決方案是使用以下命令停用 builder 帳戶:usermod -L builder
此外,相同問題也存在於使用 Nutanix、OVA、QEMU 或 raw 供應商建立的映像檔中。然而,由於成功利用需要額外條件,此漏洞(CVE-2024-9594)被評為中度嚴重性。此漏洞只能在映像檔建立過程中被利用。攻擊者需要能夠存取正在建立映像檔的虛擬機,並執行操作使預設憑證持續存在,從而允許日後存取該虛擬機。
針對 CVE-2024-9594,專家建議採取與先前漏洞相同的修復和緩解措施。
本文轉載自 BleepingComputer。