Uma falha crítica de segurança foi divulgada no Kubernetes Picture Builder que, se explorada com sucesso, pode ser abusada para obter acesso root em determinadas circunstâncias.
A vulnerabilidade, rastreada como CVE-2024-9486 (pontuação CVSS: 9,8), foi abordado na versão 0.1.38. Os mantenedores do projeto reconheceram Nicolai Rybnikar por descobrir e relatar a vulnerabilidade.
“Um problema de segurança foi descoberto no Kubernetes Picture Builder, onde as credenciais padrão são habilitadas durante o processo de construção da imagem”, disse Joel Smith da Pink Hat em um alerta.
“Além disso, as imagens de máquinas virtuais criadas usando o provedor Proxmox não desabilitam essas credenciais padrão, e os nós que usam as imagens resultantes podem ser acessíveis por meio dessas credenciais padrão. As credenciais podem ser usadas para obter acesso root.”
Dito isto, os clusters Kubernetes só serão afetados pela falha se seus nós usarem imagens de máquina digital (VM) criadas por meio do projeto Picture Builder com o provedor Proxmox.
Como mitigações temporárias, foi aconselhável desabilitar a conta do construtor nas VMs afetadas. Também é recomendado aos usuários reconstruir as imagens afetadas usando uma versão fixa do Picture Builder e reimplantá-las em VMs.
A correção implementada pela equipe do Kubernetes evita as credenciais padrão para uma senha gerada aleatoriamente e definida durante a construção da imagem. Além disso, a conta do construtor é desativada no closing do processo de criação da imagem.
O Kubernetes Picture Builder versão 0.1.38 também aborda um problema relacionado (CVE-2024-9594, pontuação CVSS: 6.3) relacionado às credenciais padrão quando compilações de imagens são criadas usando Nutanix, OVA, QEMU ou provedores brutos.
A gravidade mais baixa para CVE-2024-9594 decorre do fato de que as VMs que usam as imagens construídas usando esses provedores só serão afetadas “se um invasor conseguir alcançar a VM onde a construção da imagem estava acontecendo e usar a vulnerabilidade para modificar a imagem no momento em que a construção da imagem estava ocorrendo.”
O desenvolvimento ocorre no momento em que a Microsoft lança patches do lado do servidor para três falhas de classificação crítica, Dataverse, Think about Cup e Energy Platform, que podem levar ao escalonamento de privilégios e divulgação de informações –
- CVE-2024-38139 (Pontuação CVSS: 8,7) – A autenticação inadequada no Microsoft Dataverse permite que um invasor autorizado eleve privilégios em uma rede
- CVE-2024-38204 (pontuação CVSS: 7,5) – O controle de acesso inadequado no Think about Cup permite que um invasor autorizado eleve privilégios em uma rede
- CVE-2024-38190 (pontuação CVSS: 8,6) – A falta de autorização no Energy Platform permite que um invasor não autenticado visualize informações confidenciais por meio de um vetor de ataque de rede
Também segue a divulgação de uma vulnerabilidade crítica no mecanismo de pesquisa empresarial de código aberto Apache Solr (CVE-2024-45216, pontuação CVSS: 9,8) que poderia abrir caminho para um desvio de autenticação em instâncias suscetíveis.
“Um closing falso no closing de qualquer caminho de URL da API Solr permitirá que as solicitações ignorem a autenticação, mantendo o contrato da API com o caminho de URL authentic”, afirma um comunicado do GitHub sobre a falha. “Esse closing falso parece um caminho de API desprotegido, porém é removido internamente após a autenticação, mas antes do roteamento da API.”
O problema, que afeta versões do Solr 5.3.0 anteriores a 8.11.4, bem como de 9.0.0 anteriores a 9.7.0, foi corrigido nas versões 8.11.4 e 9.7.0, respectivamente.
