Un atacante remoto puede explotar un error de inyección de comandos ahora fijo en Kubernetes para obtener la ejecución del código con los privilegios del sistema en todos los puntos finales de Windows en un clúster y, por lo tanto, asumir por completo esos sistemas, según el investigador de Akamai, Tomer Peled.
Peled encontró la vulnerabilidad, rastreada como CVE-2024-9042, mientras realizaba investigaciones para una presentación en el evento Def Con Infosec del año pasado sobre Otro defecto relacionado con Kubernetes Involucrar la inyección de comandos en el proyecto Sidecar de la plataforma de contenedores de código abierto Git-Sync.
La última vulnerabilidad recibió una puntuación de severidad media de 5.9 de 10, y afecta las versiones de Kubernetes antes de 1.32.1 con características beta habilitadas.
Además, para explotar CVE-2024-9042, el clúster de Kubernetes no solo debe ejecutar puntos finales de Windows, la falla no afecta a ningún otro OSE, debe configurarse para ejecutar Consulta de registro. Este es un nuevo mecanismo de nivel Beta para extraer el estado del sistema de las máquinas remotas utilizando una interfaz de línea de comandos o una API web a través de una herramienta como Curl.
Como Peled explicó:
La vulnerabilidad permite a un atacante que tiene la capacidad de enviar dicha consulta a un nodo para inyectar comandos en ese sistema con altos privilegios a través de un pattern parámetro en la solicitud. La consulta de registro no valide y desinfecta suficientemente ese parámetro, que si se formateaba cuidadosamente se ejecutará en ese nodo de Windows.
Peled, que ha compartido una exploit de prueba de concepto en forma de una invocación rizada y proporcionó consejos y Más detalles aquísugiere priorizar el parche de este error.
Según el proyecto Kubernetes aviso de seguridadque enumera las versiones a las que necesita actualizar, los usuarios pueden detectar si esta vulnerabilidad ha sido explotada examinando los registros de auditoría de su clúster y buscando logs Consultas con insumos sospechosos.
Sin embargo, quién exactamente está en riesgo de ataque, el análisis de Peled es cuestionada por el análisis de Peled. Él nota que la falla solo afecta a Kubernetes Windows Nodes con el software de administración beta. Pero luego agrega: «Dado que el problema se encuentra dentro del código fuente, esta amenaza permanecerá activa y la explotación de la misma probablemente aumentará; es por eso que recomendamos que parches su clúster incluso si no tiene nodos de Windows».
Peled dijo El registro Akamai no había visto ninguna indicación de explotación activa. También explicó su declaración sobre esperar que la explotación aumente así:
«Aunque hubo varios pasos para hacer que la exploit funcione, la carga útil no requiere mucho conocimiento técnico para crear», dijo. «Esperamos que la explotación aumente debido a la facilidad de crear la carga útil, siendo un conocimiento común con la divulgación y la gravedad del impacto para las empresas que usan esta característica».
Kubernetes, por su parte, ha marcado el defecto como fijo, y un mantenedor de proyectos enfatizó El registro Realmente está limitado a los nodos de Windows y ya no es una amenaza activa.
«CVE-2024-9042 solo afecta las compilaciones de Kubernetes para Windows OS», dijo el BOD K8S. «La lógica vulnerable no se compiló en compilaciones de Kubernetes utilizadas en Linux para versiones afectadas, y los hosts de Linux que ejecutan Kubernetes no se ven afectados». ®
