重大度の高い Kubernetes の複数の脆弱性を利用して、Windows エンドポイントに対するリモート攻撃が実行される可能性がある

ソースコードのセキュリティを重視し、国内外の最新情報を収集！

編集者: コードガード

Kubernetes には、相互に関連する 3 つの重大度の高い脆弱性が存在し、クラスターの Windows エンドポイント上で昇格された特権でリモートコード実行を実現するために使用される可能性があります。

脆弱性は CVE-2023-3676、CVE-2023-3893、および CVE-2023-3955 で、CVSS スコアは 8.8 で、Windows ノードを備えたすべての K8s 環境に影響します。修復計画は、2023 年 7 月 13 日に Akamai によって提出された後、2023 年 8 月 23 日にリリースされました。

Akamai の研究者 Tomer Peled 氏は、「この脆弱性により、システム権限を持つ人物が K8s クラスターのすべての Windows エンドポイントでリモートコードを実行する可能性があります。この脆弱性を悪用するには、攻撃者はクラスターに悪意のある YAML ファイルを適用する必要があります」と述べた記事を発表しました。。」

AWS、Google Cloud、および Microsoft Azure は、これらの脆弱性に対するセキュリティアドバイザリを発行しました。これは、次の Kubelet バージョンに影響します。

kubelet < v1.28.1
kubelet < v1.27.5
kubelet < v1.26.8
kubelet < v1.25.13 および
kubelet < v1.24.17

つまり、CVE-2023-3676 により、「アプリ」権限を持つ攻撃者が、リモート Windows マシン上でシステム権限で実行できる任意のコードを挿入することが可能になります。Peled 氏は、「CVE-2023-3676 は低い権限を必要とするため、攻撃のしきい値は高くありません。攻撃者が必要とするのは、ノードにアクセスして権限を適用することだけです。」と述べました。

この脆弱性と CVE-2023-3955 の根本原因は入力サニタイズが欠如していることであり、これにより特別に構築されたパス文字列が PowerShell コマンドパラメータに解析され、コマンドが実行される可能性があります。

CVE-2023-3893 は、Container Storage Interface (CSI) エージェントの権限昇格に関連しており、悪意のある攻撃者がノード上の管理者権限を取得できる可能性があります。K8s セキュリティプラットフォーム ARMO は先月、「これらの脆弱性で繰り返し発生するテーマは、Windows 固有の Kubelet ポートに入力サニタイザーが欠如していることです。具体的には、ソフトウェアがポッド定義を処理するときにユーザー入力を適切に検証またはサニタイズできないため、悪意のあるユーザーがポッドを構築できるようになります」と述べました。環境変数を介してホストパスを変更したり、パスを処理すると、権限昇格などの予期しない動作が発生する可能性があります。」

Code Guard トライアルアドレス: https://codesafe.qianxin.com

オープンソースガードのトライアルアドレス: https://oss.qianxin.com

推奨読書

オンライン閲覧版：「2023年中国ソフトウェアサプライチェーンセキュリティ分析報告書」全文

Qi'anxinは世界的な「ソフトウェアコンポーネント分析パノラマ」の代表メーカーに選ばれました

Qi'anxinは、世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました。

OpenSSF が、使用法、開発、脆弱性レポート、パッケージ管理をカバーする 4 つのオープンソースソフトウェアセキュリティガイドをリリース

OpenSSF が NPM サプライチェーンのベストプラクティスガイドをリリース

OpenSSF、オープンソースソフトウェアとソフトウェアサプライチェーンのセキュリティを向上させるために 1,000 万ドルの投資を受ける

元のリンク

https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html

タイトル画像: Pixabayライセンス