سه آسیبپذیری امنیتی با شدت بالا در Kubernetes کشف شدهاند که میتوانند برای دستیابی به اجرای کد از راه دور با دسترسی بالا، در نقاط انتهایی ویندوز در یک cluster اکسپلویت شوند.
جزئیات آسیبپذیری
این آسیبپذیریها با عنوان CVE-2023-3676، CVE-2023-3893، CVE-2023-3955 و امتیاز 8.8 ارزیابی شدهاند و بر تمام محیطهای Kubernetes با گرههای ویندوز تاثیر میگذارند. آسیبپذیری CVE-2023-3676 به مهاجم اجازه میدهد، تعامل با API Kubernetes را انجام دهد و کد دلخواه را تزریق کند که روی ماشینهای ویندوز راه دور با امتیازات SYSTEM اجرا میشود.
این آسیبپذیری به دسترسی کمی نیاز دارد و بنابراین، نوار پایینی را برای مهاجمان تعیین میکند. تنها چیزی که آنها باید داشته باشند، دسترسی به یک گره و اعمال امتیاز است.
این آسیبپذیری همراه با CVE-2023-3955، به دلیل عدم پاکسازی ورودی ایجاد میشود، در نتیجه یک رشته مسیر ساختهشده خاص را قادر میسازد تا به عنوان پارامتری برای یک فرمان PowerShell تجزیه شود و عملاً منجر به اجرای دستور شود.
آسیبپذیری CVE-2023-3893 به یک مورد افزایش دسترسی در پروکسی Container Storage Interface (CSI) مربوط میشود که به یک عامل مخرب اجازه میدهد تا دسترسی مدیر در گره را به دست آورد.
نرم افزار به درستی ورودیهای کاربر را تایید یا پاکسازی نمی کند. عدم اعتبارسنجی درنظارت، به کاربران مخرب امکان می دهد تا پادهایی را با متغیرهای محیطی و مسیرهای میزبان ایجاد کنند که هنگام پردازش منجر به رفتارهای نامطلوب مانند افزایش دسترسی میشود.
این آسیبپذیری امکان اجرای کد از راه دور با دسترسی SYSTEM را در تمام نقاط انتهایی ویندوز در یک خوشه Kubernetes فراهم میکند. برای اکسپلویت این آسیبپذیری، مهاجم باید یک فایل YAML مخرب را روی cluster اعمال کند.
خدمات وب آمازون (AWS)، Google Cloud و Microsoft Azure توصیه هایی را برای این آسیبپذیریها منتشر کردهاند که برنسخههای kubelet<v1.28.1، kubelet <v1.27.5،kubelet < v1.26.8 ، kubelet < v1.25.13 وkubelet < v1.24.17 تاثیرگذار بودهاند.
منابع خبر:
[1] https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html
[2] https://access.redhat.com/security/cve/cve-2023-3676
[3] https://vuldb.com/?id.237868
[4] https://feedly.com/cve/CVE-2023-3955
- 90