У світі кібербезпеки виявлено нову критичну уразливість, яка становить серйозну загрозу для користувачів Kubernetes Image Builder. Ця вразливість, відома як CVE-2024-9486, дозволяє зловмисникам отримати несанкціонований SSH-доступ до віртуальних машин (ВМ), створених за допомогою цього інструменту. Розглянемо детальніше цю проблему та її потенційні наслідки для безпеки кластерів Kubernetes.
Суть уразливості та її вплив
Kubernetes Image Builder – це потужний інструмент, який дозволяє створювати образи ВМ для різних провайдерів кластерних API (CAPI), таких як Proxmox або Nutanix. Ці образи використовуються для розгортання вузлів у кластерах Kubernetes. Однак виявлена уразливість ставить під загрозу безпеку цих систем.
Основна проблема полягає у використанні облікових даних за замовчуванням, які залишаються активними після створення образу. Це дозволяє зловмисникам, які знають про цю вразливість, підключатися через SSH та отримувати root-доступ до вразливих ВМ. Ця уразливість оцінюється в 9,8 балів за шкалою CVSS, що свідчить про її критичну небезпеку.
Вплив на різні платформи
Хоча найбільшу загрозу уразливість становить для образів, створених за допомогою Proxmox на Image Builder версії 0.1.37 або раніше, вона також впливає на інші платформи:
- Nutanix
- OVA
- QEMU
- Raw образи
Для цих платформ уразливість вважається менш серйозною (CVE-2024-9594, 6,3 бали за CVSS), оскільки для її експлуатації потрібні додаткові умови, а можлива вона лише під час збірки образу.
Заходи з усунення уразливості
Для захисту від цієї загрози рекомендуються наступні кроки:
- Оновлення Image Builder: Використовуйте версію 0.1.38 або новішу, яка встановлює випадково згенерований пароль під час збірки та вимикає обліковий запис builder після завершення процесу.
- Перезбірка образів: Необхідно перезібрати всі вразливі образи з використанням оновленої версії Image Builder.
- Тимчасове рішення: Якщо негайне оновлення неможливе, відключіть обліковий запис builder за допомогою команди usermod -L builder.
Важливість своєчасного реагування
Ця уразливість підкреслює важливість постійного моніторингу та оновлення систем безпеки в середовищах Kubernetes. Організації повинні регулярно перевіряти свої системи на наявність подібних вразливостей та швидко реагувати на нові загрози.
Забезпечення безпеки кластерів Kubernetes вимагає комплексного підходу, що включає не лише своєчасне оновлення програмного забезпечення, але й регулярний аудит безпеки, навчання персоналу та впровадження передових практик кібербезпеки. Лише такий підхід дозволить ефективно протистояти постійно еволюціонуючим кіберзагрозам у сучасному цифровому світі.
