3 vulnérabilités Kubernetes de haute gravité (CVE-2023-3676, CVE-2023-3893, CVE-2023-3955) pourraient permettre aux agresseurs d’exécuter du code à partir d’un autre emplacement et de prendre le contrôle de tous les nœuds Windows du système. Cluster Kubernetes.
À propos des vulnérabilités
CVE-2023-3676, trouvé par le scientifique d’Akamai Tomer Peled, est une vulnérabilité d’injection de commandes qui peut être utilisée en utilisant un fichier YAML malveillant sur le cluster.
« La structure Kubernetes utilise YAML pour généralement tout, de la configuration de l’interface réseau de conteneurs à la gestion des pods et même à la gestion des secrets », a expliqué Peled.
La vulnérabilité peut être exploitée sur les configurations par défaut de Kubernetes et est le résultat d’une vérification insuffisante des entrées sur les nœuds Windows, ce qui entraîne une escalade des avantages. La vérification insuffisante des entrées intégrée à exec.Command développe la possibilité d’une injection de commande.
Comme Peled l’a montré, un ennemi ayant les opportunités nécessaires pour communiquer avec l’API Kubernetes peut exploiter ce défaut. pour injecter du code qui sera exécuté sur des machines Windows distantes avec les privilèges SYSTEM.
Cette vulnérabilité a provoqué la découverte de vulnérabilités d’injection de commandes supplémentaires suivies comme CVE-2023-3893 et CVE-2023-3955, toutes deux déclenché par un appel de fonction non sécurisé et un manque de vérification des entrées utilisateur.
Atténuation
Les 3 vulnérabilités affectent toutes les variantes de Kubernetes répertoriées sous la version 1.28. L’équipe Kubernetes a fourni des variantes réparées fin août.
Il est recommandé aux administrateurs de mettre à jour vers une version corrigée, mais si cela n’est pas possible, Akamai a décrit des actions d’atténuation alternatives.
Le Kubernetes Le groupe a également décrit comment l’exploitation de CVE-2023-3676 peut être détectée en analysant les journaux d’audit Kubernetes : « Les occasions de création de pods avec des commandes PowerShell intégrées sont une forte indication d’exploitation. Les cartes de configuration et les astuces qui contiennent des commandes PowerShell intégrées et qui sont montées dans des pods sont c’est aussi une forte indication d’exploitation. » (Ils ont en fait également demandé aux utilisateurs de partager des preuves d’exploitation avec eux.)
Peled a également fourni un fichier YAML de preuve de concept pour montrer comment le défaut peut être exploité.
« CVE-2023-3676 nécessite peu d’avantages et, pour cette raison, place la barre basse pour les attaquants : tout ce dont ils ont besoin, c’est d’accéder à un nœud et d’utiliser les opportunités », a-t-il déclaré.
» Un impact élevé associé à une facilité d’exploitation indique normalement qu’il y a une plus grande chance de voir cette attaque (et des attaques comparables) sur les organisations. Le seul facteur limitant de cette vulnérabilité est sa portée : elle est limitée aux nœuds Windows, qui ne sont pas très populaire aujourd’hui. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
