Eine kürzlich entdeckte kritische Sicherheitslücke im Kubernetes Image Builder hat die Cybersecurity-Gemeinschaft alarmiert. Die als CVE-2024-9486 klassifizierte Schwachstelle ermöglicht es Angreifern, unbefugten SSH-Zugriff auf virtuelle Maschinen (VMs) zu erlangen, die mit dem betroffenen Tool erstellt wurden. Mit einem CVSS-Score von 9,8 von 10 stellt diese Schwachstelle eine ernsthafte Bedrohung für die Sicherheit von Kubernetes-Umgebungen dar.
Technische Details der Sicherheitslücke
Der Kubernetes Image Builder ist ein beliebtes Tool zur Erstellung von VM-Images für verschiedene Cluster API (CAPI) Provider wie Proxmox und Nutanix. Die Schwachstelle betrifft speziell Images, die mit Proxmox auf Image Builder-Versionen 0.1.37 oder älter erstellt wurden. Der Kern des Problems liegt in der Verwendung von Standard-Anmeldeinformationen, die während des Image-Erstellungsprozesses aktiv bleiben und nicht deaktiviert werden.
Ein Angreifer mit Kenntnis dieser Schwachstelle kann sich über SSH verbinden und die Standard-Anmeldeinformationen nutzen, um Root-Zugriff auf die betroffenen VMs zu erhalten. Dies öffnet Tür und Tor für verschiedene bösartige Aktivitäten, von Datendiebstahl bis hin zur Kompromittierung des gesamten Kubernetes-Clusters.
Auswirkungen auf andere Plattformen
Obwohl die Schwachstelle bei Proxmox-Images am kritischsten ist, sind auch Images, die mit Nutanix, OVA, QEMU und raw erstellt wurden, betroffen. In diesen Fällen wird die Schwachstelle als weniger schwerwiegend eingestuft (CVE-2024-9594 mit einem CVSS-Score von 6,3), da zusätzliche Bedingungen für eine erfolgreiche Ausnutzung erfüllt sein müssen und die Ausnutzung nur während des Build-Prozesses möglich ist.
Empfohlene Sicherheitsmaßnahmen
Um die Sicherheitslücke zu beheben, empfehlen Experten dringend folgende Maßnahmen:
- Aktualisierung auf Kubernetes Image Builder Version 0.1.38 oder höher
- Neuerstellen aller betroffenen Images mit der aktualisierten Version
- Überprüfung und Härtung der SSH-Konfigurationen aller VMs
- Implementierung von Netzwerksegmentierung und Zugriffskontrolllisten
Als temporäre Lösung kann das Builder-Konto mit dem Befehl usermod -L builder deaktiviert werden. Dies verhindert den Zugriff über die Standard-Anmeldeinformationen, sollte aber nicht als dauerhafte Lösung betrachtet werden.
Diese Sicherheitslücke unterstreicht die Bedeutung regelmäßiger Sicherheitsaudits und zeitnaher Patch-Management-Prozesse in Kubernetes-Umgebungen. Organisationen sollten ihre Cybersicherheitsstrategien überprüfen und sicherstellen, dass robuste Überwachungs- und Reaktionsmechanismen vorhanden sind, um solche Bedrohungen schnell zu erkennen und zu neutralisieren. Die Kubernetes-Community arbeitet kontinuierlich daran, die Plattform sicherer zu machen, aber Wachsamkeit und proaktives Handeln seitens der Administratoren bleiben entscheidend für die Aufrechterhaltung einer sicheren Infrastruktur.
