A vulnerabilidade do Kubernetes permite RCE em endpoints do Windows (CVE-2023-3676)

Views: 121
0 0
Read Time:2 Minute, 4 Second

Sobre as vulnerabilidades

CVE-2023-3676, descoberta pelo pesquisador da Akamai Tomer Peled, é uma vulnerabilidade de injeção de comando que pode ser explorada aplicando um arquivo YAML malicioso no cluster.

“A estrutura Kubernetes usa arquivos YAML para basicamente tudo – desde a configuração da interface de rede do contêiner até o gerenciamento de pods e até mesmo manipulação de segredos”, explicou Peled.

A vulnerabilidade pode ser explorada em instalações padrão do Kubernetes e é resultado de uma limpeza de entrada insuficiente nos nós do Windows, o que leva ao escalonamento de privilégios. A limpeza insuficiente de entrada combinada com exec.Command cria a oportunidade para uma injeção de comando.

Como Peled demonstrou, um invasor com privilégios necessários para interagir com a API Kubernetes pode explorar essa falha para injetar código que será executado em máquinas Windows remotas com privilégios SYSTEM.

Esta vulnerabilidade levou à descoberta de vulnerabilidades adicionais de injeção de comando rastreadas como CVE-2023-3893 e CVE-2023-3955, ambas causadas por chamadas de função inseguras e falta de limpeza de entrada do usuário.

Mitigação

As três vulnerabilidades afetam todas as versões do Kubernetes anteriores à v1.28. A equipe do Kubernetes forneceu versões fixas no final de agosto.

Os administradores são aconselhados a atualizar para uma versão fixa, mas se isso não for possível, a Akamai descreveu ações alternativas de mitigação.

A equipe do Kubernetes também explicou como a exploração do CVE-2023-3676 pode ser detectada analisando os logs de auditoria do Kubernetes: “Eventos de criação de pod com comandos Powershell incorporados são uma forte indicação de exploração. Mapas de configuração e segredos que contêm comandos do PowerShell incorporados e são montados em pods também são uma forte indicação de exploração.” (Eles também pediram aos usuários que compartilhassem evidências de exploração com eles.)

Peled também forneceu um arquivo YAML de prova de conceito para demonstrar como a falha pode ser explorada.

“CVE-2023-3676 requer privilégios baixos e, portanto, estabelece um padrão baixo para os invasores: tudo o que eles precisam é ter acesso a um nó e aplicar privilégios”, disse ele .

“O alto impacto aliado à facilidade de exploração geralmente significa que há uma chance maior de ver esse ataque (e ataques semelhantes) nas organizações. Na verdade, o único fator limitante desta vulnerabilidade é o seu escopo – ela está restrita aos nós do Windows, que não são muito populares atualmente.”

FONTE: HELP NET SECURITY

POSTS RELACIONADOS