Se ha revelado una falla de seguridad crítica en Kubernetes Image Builder que, si se explota con éxito, podría utilizarse abusivamente para obtener acceso de root en determinadas circunstancias.
Vulnerabilidad, seguida de CVE-2024-9486 (Puntuación CVSS: 9,8), se corrigió en la versión 0.1.38. Los responsables del proyecto agradecieron a Nicolai Rybnikar por descubrir e informar sobre la vulnerabilidad.
“Se descubrió un problema de seguridad en Kubernetes Image Builder donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes”, Joel Smith de Red Hat dicho en una alerta.
“Además, las imágenes de máquinas virtuales creadas con el proveedor Proxmox no desactivan estas credenciales predeterminadas, y se puede acceder a los nodos que utilizan las imágenes resultantes a través de estas credenciales predeterminadas. “La identificación se puede utilizar para obtener acceso raíz”.
Dicho esto, los clústeres de Kubernetes solo se ven afectados por la falla si sus nodos usan imágenes de máquinas virtuales (VM) creadas a través del proyecto Image Builder con el proveedor Proxmox.
Como mitigación temporal, se recomendó desactivar la cuenta del fabricante en las máquinas virtuales afectadas. También se recomienda a los usuarios reconstruir las imágenes afectadas utilizando una versión fija de Image Builder y volver a implementarlas en las máquinas virtuales.
La solución implementada por el equipo de Kubernetes evita las credenciales predeterminadas para una contraseña generada aleatoriamente establecida durante la creación de la imagen. Además, la cuenta del constructor se desactiva al final del proceso de creación de imágenes.
Kubernetes Image Builder versión 0.1.38 también soluciona un problema problema relacionado (CVE-2024-9594, puntuación CVSS: 6,3) con respecto a las credenciales predeterminadas cuando se crean imágenes con Nutanix, OVA, QEMU o proveedores sin formato.
La menor gravedad de CVE-2024-9594 se debe al hecho de que las máquinas virtuales que utilizan imágenes creadas con estos proveedores son solo afectado “si un atacante pudo llegar a la máquina virtual donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen”.
Este desarrollo se produce cuando Microsoft lanzó parches del lado del servidor para tres vulnerabilidades clasificadas como críticas Dataverse, Imagine Cup y Power Platform que podrían conducir a una escalada de privilegios y divulgación de información:
- CVE-2024-38139 (Puntuación CVSS: 8,7): la autenticación incorrecta en Microsoft Dataverse permite a un atacante autorizado elevar los privilegios en una red
- CVE-2024-38204 (Puntuación CVSS: 7,5): el control de acceso inadecuado en Imagine Cup permite a un atacante autorizado elevar los privilegios en una red.
- CVE-2024-38190 (Puntuación CVSS: 8,6): la falta de permiso en Power Platform permite a un atacante no autenticado ver información confidencial a través del vector de ataque de red
También sigue a la divulgación de una vulnerabilidad crítica en el motor de búsqueda empresarial de código abierto Apache Solr (CVE-2024-45216, puntuación CVSS: 9,8) que podría abrir el camino para eludir la autenticación en instancias sensibles.
“Un avance falso al final de cualquier ruta URL de la API de Solr permitirá que las solicitudes omitan la autenticación mientras se conserva el contrato de API con la ruta URL original”, declaró. Reseñas de GitHub para estados de falla. “Este final falso parece una ruta API desprotegida, pero se elimina internamente después de la autenticación pero antes del enrutamiento API”.
El problema, que afecta a las versiones de Solr 5.3.0 anteriores a 8.11.4, así como a 9.0.0 anteriores a 9.7.0, se solucionó en las versiones 8.11.4 y 9.7.0, respectivamente.