Rastreada atualmente como CVE-2024-9486, uma falha crítica do Kubernetes Image Builder dá acesso root SSH a VMs.
O Kubernetes é uma plataforma de código aberto que ajuda a automatizar a implantação, dimensionar e operar contêineres virtuais – ambientes leves para aplicativos executarem.
Com o Kubernetes Image Builder, os usuários podem criar imagens de máquina virtual (VM) para vários provedores de Cluster API (CAPI), como Proxmox ou Nutanix, que executam o ambiente Kubernetes.
Essas VMs são então usadas para configurar nós (servidores) que se tornam parte de um cluster Kubernetes.
Agora, uma vulnerabilidade crítica no Kubernetes pode permitir acesso SSH não autorizado a uma máquina virtual executando uma imagem criada com o projeto Kubernetes Image Builder.
Falha crítica do Kubernetes Image Builder dá acesso root SSH a VMs
De acordo com um alerta de segurança nos fóruns da comunidade Kubernetes, a vulnerabilidade crítica afeta imagens de VM construídas com o provedor Proxmox no Image Builder versão 0.1.37 ou anterior.
O problema está atualmente rastreado como CVE-2024-9486 e consiste no uso de credenciais padrão habilitadas durante o processo de construção de imagem e não desabilitadas depois.
Um agente de ameaça sabendo disso pode se conectar por uma conexão SSH e usar essas credenciais para obter acesso com privilégios de root a VMs vulneráveis.
A solução é reconstruir imagens de VM afetadas usando o Kubernetes Image Builder versão v0.1.38 ou posterior, que define uma senha gerada aleatoriamente durante o processo de construção e também desabilita a conta padrão do “builder” após o processo ser concluído.
Se a atualização não for possível neste momento, uma solução temporária é desabilitar a conta do builder usando o comando:
usermod -L builder
Mais informações sobre mitigação e como verificar se seu sistema é afetado estão disponíveis nesta página do GitHub.
O boletim também avisa que o mesmo problema existe para imagens construídas com os provedores Nutanix, OVA, QEMU ou raw, mas tem uma classificação de gravidade média devido a requisitos adicionais para exploração bem-sucedida.
A vulnerabilidade agora é identificada como CVE-2024-9594.
Especificamente, a falha só pode ser explorada durante o processo de construção e requer que um invasor obtenha acesso à VM criadora de imagem e execute ações para que as credenciais padrão persistam, permitindo assim acesso futuro à VM.
A mesma recomendação de correção e mitigação se aplica à CVE-2024-9594.