ช่องโหว่ระดับ Critical ใน Kubernetes Image Builder ทำให้สามารถ SSH ด้วยสิทธิ์ root ไปยัง VM ได้

ช่องโหว่ระดับ Critical ใน Kubernetes อาจทำให้สามารถเข้าถึง SSH โดยไม่ได้รับอนุญาตบน virtual machine ที่ใช้งานอิมเมจที่สร้างด้วยโปรเจ็กต์ Kubernetes Image Builder

Kubernetes เป็นแพลตฟอร์มโอเพนซอร์สที่ช่วยในการปรับใช้, ปรับขนาด และการดำเนินงานของ virtual containers ได้โดยอัตโนมัติ ซึ่งเป็นลักษณะ lightweight environments เพื่อให้แอปพลิเคชันทำงานได้

ด้วย Kubernetes Image Builder ผู้ใช้งานสามารถสร้างอิมเมจ virtual machine (VM) สำหรับผู้ให้บริการ Cluster API (CAPI) ต่าง ๆ เช่น Proxmox หรือ Nutanix ที่ใช้รัน Kubernetes environment จากนั้น VM เหล่านี้จะถูกใช้ในการตั้งค่า nodes (servers) ซึ่งจะกลายเป็นส่วนหนึ่งของ Kubernetes cluster

ตามคำแนะนำด้านความปลอดภัยในฟอรัม Community ของ Kubernetes ช่องโหว่ระดับ Critical นี้มีผลกระทบต่ออิมเมจ VM ที่สร้างด้วย Proxmox provider บน Image Builder เวอร์ชัน 0.1.37 หรือต่ำกว่า

โดยปัจจุบันช่องโหว่นี้มีหมายเลข CVE-2024-9486 โดยมีสาเหตุมาจากการใช้ default credentials ที่ถูกเปิดใช้งานระหว่างกระบวนการสร้างอิมเมจ และไม่ได้ปิดใช้งานภายหลัง

ผู้ไม่หวังดีที่ทราบถึงช่องโหว่นี้สามารถเชื่อมต่อ SSH และใช้ข้อมูล credentials เหล่านี้เพื่อเข้าถึงด้วยสิทธิ์ root บน VM ที่มีช่องโหว่

วิธีแก้ไขคือ การสร้างอิมเมจ VM ที่ได้รับผลกระทบขึ้นใหม่โดยใช้ Kubernetes Image Builder เวอร์ชัน v0.1.38 หรือใหม่กว่า ซึ่งจะตั้งรหัสผ่านแบบสุ่มระหว่างกระบวนการสร้าง และปิดใช้งานบัญชี 'builder' เริ่มต้นหลังจากกระบวนการเสร็จสิ้น

หากไม่สามารถอัปเกรดได้ในขณะนี้ วิธีแก้ปัญหาชั่วคราวคือการปิดใช้งานบัญชี builder โดยใช้คำสั่ง

  • usermod -L builder

ข้อมูลเพิ่มเติมเกี่ยวกับการลดผลกระทบ และวิธีตรวจสอบว่าระบบของคุณได้รับผลกระทบหรือไม่ สามารถดูได้ที่ GitHub

GitHub ยังเตือนด้วยว่ามีช่องโหว่เดียวกันนี้กับอิมเมจที่สร้างด้วย Nutanix, OVA, QEMU หรือ raw providers แต่มีการจัดระดับความรุนแรงอยู่ในระดับปานกลางเนื่องจากมีข้อกำหนดเพิ่มเติมสำหรับการโจมตีที่ประสบความสำเร็จ ช่องโหว่นี้มีหมายเลข CVE-2024-9594

โดยเฉพาะ ช่องโหว่นี้สามารถถูกใช้ในการโจมตีได้เฉพาะในระหว่างกระบวนการสร้าง และผู้โจมตีต้องเข้าถึง VM ที่สร้างอิมเมจได้ และดำเนินการเพื่อให้ข้อมูล credentials เริ่มต้นยังคงอยู่ ซึ่งจะอนุญาตให้เข้าถึง VM ในอนาคตได้

คำแนะนำการแก้ไข และการลดผลกระทบใช้ได้กับ CVE-2024-9594 ด้วยเช่นกัน

 

ที่มา : bleepingcomputer