Kritična ranjivost u Kubernetes platformi
Dana 14. listopada 2024., Kubernetes zajednica je izdala sigurnosno upozorenje u vezi s kritičnom ranjivošću koja zahvaća projekt Kubernetes Image Builder. Preporučuje se ažurirati alat Kubernetes Image Builder te ponovo implementirati ili primijeniti mjere ublažavanja na virtualne strojeve (VM) kreirane putem ranjive verzije Kubernetes Image Buildera.
Tehnički detalji ranjivosti otklonjene ovim ažuriranjem:
Pogreška omogućuje root razinu pristupa putem SSH, koristeći zadane (engl. default) vjerodajnice na virtualnim strojevima kreiranim s pomoću ranjive verzije Kubernetes Image Buildera.
- Za slike virtualnih strojeva izrađene s pomoću Proxmox providera, ranjivost je identificirana kao CVE-2024-9486 (CVSS ocjena 9.8).
- Za slike virtualnih strojeva izrađene s pomoću Nutanix, OVA, QEMU ili raw providera, ranjivost je identificirana kao CVE-2024-9594 (CVSS ocjena 6.3).
Zahvaćeni proizvodi:
- Kubernetes Image Builder v0.1.37 i starije verzije;
- Slike virtualnih strojeva kreiranih ranjivim verzijama Kubernetes Image Buildera.
Preporuke:
Preporučuje se žurna nadogradnja alata Kubernetes Image Builder i ponovna implementacija virtualnih strojeva kreiranih s pomoću ranjive verzije Kubernetes Image Buildera.
Ublažavanje štetnih posljedica povezanih s ranjivosti:
Moguće je ublažiti ranjivost na zahvaćenim virtualnim strojevima onemogućavanjem builder računa:
usermod -L builder
Detekcija:
Linux naredba last builder može se koristiti za pregled prijava na zahvaćeni builder račun.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.bleepingcomputer.com/news/security/critical-kubernetes-image-builder-flaw-gives-ssh-root-access-to-vms/
- https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119
- https://thehackernews.com/2024/10/critical-kubernetes-image-builder.html
[inicijalna objava: 18.10.2024 - 10:47]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima