近日，安全研究人員Nicolai Rybnikar 發(fā)現(xiàn)Kubernetes鏡像構(gòu)建器中存在嚴(yán)重安全漏洞（CVE-2024-9486 ，CVSS ：9.8），攻擊者可在特定情況下獲得Root級訪問權(quán)限，從而導(dǎo)致系統(tǒng)出現(xiàn)問題。

Nicolai Rybnikar進一步表示，該漏洞可允許在鏡像構(gòu)建過程中默認憑據(jù)保持啟用狀態(tài)，使用Proxmox提供商構(gòu)建的虛擬機鏡像沒有禁用這些默認憑據(jù)，這意味著使用這些鏡像的節(jié)點可能可以通過這些憑據(jù)訪問。

漏洞詳情

• 描述：該漏洞存在于Kubernetes鏡像構(gòu)建器處理某些操作的方式中，可能允許攻擊者利用它獲得對底層節(jié)點的根級訪問權(quán)限。
• 影響：成功利用可能導(dǎo)致攻擊者完全控制受影響的節(jié)點，從而執(zhí)行任意命令、修改系統(tǒng)文件和訪問敏感數(shù)據(jù)。

潛在攻擊向量

• 鏡像構(gòu)建過程：攻擊者可能針對鏡像構(gòu)建過程，注入惡意代碼或配置。
• 供應(yīng)鏈攻擊：通過受損的鏡像或構(gòu)建工具，攻擊者可以利用該漏洞。

影響范圍

Kubernetes鏡像漏洞對應(yīng)0.1.37及更早版本。使用Proxmox提供商的這些版本的集群尤其容易受到影響。不僅影響集群的即時安全性，還影響其操作完整性。 相比之下，使用其他提供商構(gòu)建的鏡像不共享此漏洞，因此其影響范圍更可控。企業(yè)更新到Image Builder的最新版本，實施推薦的緩解策略，并持續(xù)監(jiān)測。

緩解策略

• 更新Kubernetes：確保所有Kubernetes組件（包括鏡像構(gòu)建器）都更新到包含CVE-2024-9486補丁的最新版本。
• 版本0.1.38糾正了漏洞并引入了重大更改：它在鏡像構(gòu)建期間設(shè)置了一個隨機生成的密碼，并在完成后禁用構(gòu)建器帳戶。在此期間，組織可以通過在受影響的虛擬機上禁用構(gòu)建器帳戶來降低風(fēng)險。
• 鏡像掃描：實施嚴(yán)格的鏡像掃描和驗證過程，以檢測并防止使用受損的鏡像。
• 訪問控制：加強訪問控制和權(quán)限，限制誰可以與鏡像構(gòu)建器及相關(guān)組件進行交互。
• 監(jiān)控和日志記錄：增強監(jiān)控和日志記錄，以便快速檢測可疑活動并對潛在的入侵做出響應(yīng)。

安全建議

• 立即行動：評估當(dāng)前Kubernetes環(huán)境的狀態(tài)，并盡快應(yīng)用必要的補丁。
• 安全審計：進行全面的安全審計，以識別可能被利用的任何潛在弱點或配置錯誤。
• 員工培訓(xùn)：教育團隊了解與該漏洞相關(guān)的風(fēng)險以及保護容器化環(huán)境的最佳實踐。

Kubernetes鏡像構(gòu)建器中的CVE-2024-9486漏洞凸顯了在容器化環(huán)境中維護更好安全實踐的關(guān)鍵重要性，此漏洞尤其對使用受影響版本和Proxmox提供商的組織構(gòu)成風(fēng)險。升級到版本0.1.38是保護系統(tǒng)免受未經(jīng)授權(quán)訪問和潛在混亂的必要步驟。此外，實施推薦的緩解策略并進行定期的安全審計將有助于保護防御措施免受此漏洞及未來漏洞的侵害。

參考來源：https://thecyberexpress.com/openssh-vulnerability/