Se han hecho públicos detalles sobre una falla de alta gravedad en Kubernetes, identificada como CVE-2023-5528. "La vulnerabilidad permite la ejecución remota de código con privilegios de SYSTEM en todos los puntos finales de Windows dentro de un clúster de Kubernetes", dijo el investigador de seguridad de Akamai, Tomer Peled. "Para explotar esta vulnerabilidad, el atacante necesita aplicar archivos YAML maliciosos en el clúster".
Registrada como CVE-2023-5528 (puntuación CVSS: 7.2), la deficiencia afecta a todas las versiones de kubelet, incluida la versión 1.8.0 y posteriores. Se solucionó como parte de las actualizaciones publicadas el 14 de noviembre de 2023, en las siguientes versiones:
- kubelet v1.28.4
- kubelet v1.27.8
- kubelet v1.26.11, y
- kubelet v1.25.16
"Se descubrió un problema de seguridad en Kubernetes donde un usuario que puede crear pods y volúmenes persistentes en nodos de Windows puede escalar a privilegios de administrador en esos nodos", dijeron los mantenedores de Kubernetes en un aviso publicado en ese momento. "Los clústeres de Kubernetes sólo se ven afectados si utilizan un complemento de almacenamiento en el árbol para los nodos de Windows".
La explotación exitosa de la falla podría resultar en una toma completa de todos los nodos de Windows en un clúster. Vale la pena señalar que la empresa de infraestructura web reveló previamente otro conjunto de fallas similares en septiembre de 2023.
El problema surge del uso de "llamadas a funciones inseguras y falta de saneamiento de la entrada del usuario" y se relaciona con la característica llamada volúmenes de Kubernetes, que aprovecha especialmente un tipo de volumen conocido como volúmenes locales que permiten a los usuarios montar una partición de disco en un pod especificando o creando un volumen persistente.
"Al crear un pod que incluye un volumen local, el servicio kubelet (eventualmente) alcanzará la función 'MountSensitive()'", explicó Peled. "Dentro de él, hay una línea cmd que llama a 'exec.command', que crea un enlace simbólico entre la ubicación del volumen en el nodo y la ubicación dentro del pod".
Esto proporciona una laguna que un atacante puede aprovechar creando un PersistentVolume con un parámetro de ruta especialmente diseñado en el archivo YAML, que desencadena la inyección y ejecución de comandos mediante el uso del separador de comandos "&&".
"En un esfuerzo por eliminar la oportunidad de inyección, el equipo de Kubernetes optó por eliminar la llamada cmd y reemplazarla con una función GO nativa que realizará la misma operación 'os.Symlink()", dijo Peled sobre el parche implementado.
La divulgación se produce cuando una falla de seguridad crítica descubierta en el final de su vida útil (EoL) de la cámara Zhejiang Uniview ISC modelo 2500-S (CVE-2024-0778, puntuación CVSS: 9.8) está siendo explotada por actores de amenazas para lanzar una botnet Mirai. variante llamada NetKiller que comparte infraestructura se superpone con una botnet diferente llamada Condi.
"El código fuente de la botnet Condi se publicó públicamente en Github entre el 17 de agosto y el 12 de octubre de 2023", dijo Akamai. "Teniendo en cuenta que el código fuente de Condi ha estado disponible desde hace meses, es probable que otros actores de amenazas [...] lo estén utilizando".
La única mitigación disponible es parchear Kubernetes a una versión posterior a la 1.28.3.
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/03/investigadores-detallan-la.html
No hay comentarios:
Publicar un comentario