Detalhes foram divulgados sobre uma falha de alta gravidade no Kubernetes, agora corrigida, que poderia permitir que um invasor mal-intencionado conseguisse a execução remota de código com privilégios elevados em circunstâncias específicas.
“A vulnerabilidade permite a execução remota de código com privilégios SYSTEM em todos os endpoints do Home windows dentro de um cluster Kubernetes”, disse o pesquisador de segurança da Akamai, Tomer Peled. “Para explorar esta vulnerabilidade, o invasor precisa aplicar arquivos YAML maliciosos no cluster.”
Rastreada como CVE-2023-5528 (pontuação CVSS: 7.2), a deficiência afeta todas as versões do kubelet, incluindo e após a versão 1.8.0. Foi resolvido como parte das atualizações lançadas em 14 de novembro de 2023, nas seguintes versões –
- Kubelet v1.28.4
- Kubelet v1.27.8
- kubelet v1.26.11 e
- Kubelet v1.25.16
“Um problema de segurança foi descoberto no Kubernetes, onde um usuário que pode criar pods e volumes persistentes em nós do Home windows pode escalar para privilégios de administrador nesses nós”, disseram os mantenedores do Kubernetes em um comunicado divulgado na época. “Os clusters Kubernetes só serão afetados se estiverem usando um plug-in de armazenamento em árvore para nós do Home windows.”
A exploração bem-sucedida da falha pode resultar no controle completo de todos os nós do Home windows em um cluster. É importante notar que outro conjunto de falhas semelhantes foi divulgado anteriormente pela empresa de infraestrutura net em setembro de 2023.
O problema decorre do uso de “chamada de função insegura e falta de higienização de entrada do usuário” e está relacionado ao recurso chamado volumes Kubernetes, aproveitando especialmente um tipo de quantity conhecido como volumes locais que permite aos usuários montar partições de disco em um pod especificando ou criando um quantity persistente.
“Ao criar um pod que inclui um quantity native, o serviço kubelet (eventualmente) alcançará a função ‘MountSensitive()’”, explicou Peled. “Dentro dele, há uma chamada de linha cmd para 'exec.command', que faz um hyperlink simbólico entre a localização do quantity no nó e a localização dentro do pod.”
Isso fornece uma brecha que um invasor pode explorar criando um PersistentVolume com um parâmetro de caminho especialmente criado no arquivo YAML, que aciona a injeção e execução de comando usando o separador de comando “&&”.
“Em um esforço para remover a oportunidade de injeção, a equipe do Kubernetes optou por excluir a chamada cmd e substituí-la por uma função GO nativa que executará a mesma operação ‘os.Symlink ()”, disse Peled sobre o patch colocado em lugar.
A divulgação ocorre no momento em que uma falha crítica de segurança descoberta na câmera Zhejiang Uniview ISC de fim de vida (EoL) modelo 2500-S (CVE-2024-0778, pontuação CVSS: 9,8) está sendo explorada por agentes de ameaças para lançar um botnet Mirai variante chamada NetKiller que compartilha sobreposições de infraestrutura com uma botnet diferente chamada Condi.
“O código-fonte do botnet Condi foi lançado publicamente no Github entre 17 de agosto e 12 de outubro de 2023”, disse Akamai. “Considerando que o código-fonte do Condi está disponível há meses, é provável que outros atores de ameaças (…) o estejam usando.”
