Krytyczny błąd w Kubernetes Image Builder może pozwolić na nieautoryzowany dostęp SSH do maszyn wirtualnych (VM) dzięki włączeniu domyślnych poświadczeń podczas procesu tworzenia obrazu.
Image Builder to narzędzie służące do tworzenia obrazów maszyn wirtualnych Kubernetes u wielu dostawców infrastruktury. Tworzone przez niego obrazy zawierają domyślne poświadczenia, których można używać do uzyskiwania dostępu root do maszyn wirtualnych.
Luka oznacza, że obrazy maszyn wirtualnych utworzone przy użyciu pliku Najbardziej bezbronni są dostawcy Proxmox.
Wada ta jest śledzona jako CVE-2024-9486ma ocenę ważności 9,8 na 10 dla CVSS i wpływa na obrazy maszyn wirtualnych utworzone przy użyciu dostawcy Proxmox w programie Image Builder w wersji 0.1.37 lub starszej.
Problem dotyczy również obrazów utworzonych za pomocą Nutanix, OVA, QEMU lub dostawców surowców, ale w tych przypadkach ocenia się go na 6,3 w dziesięciopunktowej skali ocen CVSS w ramach osobnego modułu śledzącego CVE: CVE-2024-9594.
Ten błąd może nadal zostać wykorzystany do uzyskania dostępu do konta root. Jednak Nutanix, OVA i QEMU wyłączają domyślne poświadczenia na końcu procesu tworzenia obrazu. Daje to atakującemu znacznie mniejsze okno, w którym można wykorzystać CVE-2024-9594 – a może to nastąpić tylko podczas procesu kompilacji.
Pomyślne wykorzystanie CVE-2024-9594 wymagałoby od osoby atakującej „dostępu do maszyny wirtualnej, na której następuje tworzenie obrazu, i wykorzystania luki w celu zmodyfikowania obrazu w momencie tworzenia obrazu” – powiedział Joel Smith z Red Hat. Wyjaśnił.
Aby naprawić błąd, zaktualizuj program Image Builder do wersji 0.1.38 lub nowszej. Ta wersja ustawia losowo generowane hasło na czas tworzenia obrazu, a następnie blokuje konto twórcy na koniec procesu tworzenia.
Po uaktualnieniu do stabilnej wersji programu Image Builder użytkownicy muszą ponownie wdrożyć nowe obrazy na wszystkich maszynach wirtualnych, których dotyczy problem.
Lub przed aktualizacją i jako tymczasowe obejście użytkownicy mogą złagodzić usterkę, wyłączając konto twórcy.
Projekty Repnicara Mikołaj Rybnikar Znalazłem i zgłosiłem błąd. ®
More Stories
Ding! Christopher Ward ogłasza nowe Bel Canto
Najlepszą reklamą podczas wydarzenia Apple Mac była bezpłatna aktualizacja pamięci RAM dla MacBooka Air
Startup zajmujący się obserwacją Ziemi wychodzi z zapomnienia z 12 milionami dolarów