Kubernetesに致命的な脆弱性が存在し、Kubernetes Image Builderプロジェクトで作成されたイメージを実行している仮想マシンに不正にSSHアクセスされる可能性がある。
Kubernetesはオープンソースのプラットフォームであり、アプリケーションを実行するための軽量環境である仮想コンテナのデプロイ、スケール、運用の自動化を支援します。
Kubernetes Image Builderを使用すると、ユーザーはProxmoxやNutanixなど、Kubernetes環境を実行するさまざまなクラスタAPI(CAPI)プロバイダ用の仮想マシン(VM)イメージを作成できる。これらのVMは、Kubernetesクラスターの一部となるノード(サーバー)のセットアップに使用される。
Kubernetesコミュニティフォーラムのセキュリティ勧告によると、この重大な脆弱性は、Image Builderバージョン0.1.37以前のProxmoxプロバイダーで構築されたVMイメージに影響する。
この問題は現在、CVE-2024-9486として追跡されており、イメージ構築プロセス中に有効化され、その後無効化されないデフォルト認証情報の使用に起因する。
これを知っている脅威者は、SSH 接続で接続し、これらの認証情報を使用して脆弱な VM に root 権限でアクセスすることが可能です。
解決策としては、Kubernetes Image Builderのバージョンv0.1.38以降を使用して、影響を受けるVMイメージを再構築することです。このバージョンでは、ビルドプロセス中にランダムに生成されたパスワードが設定され、プロセス終了後にはデフォルトの「builder」アカウントも無効になります。
現時点でアップグレードが不可能な場合、一時的な解決策として、以下のコマンドを使用してbuilderアカウントを無効にすることができます:
usermod -L builder
緩和策や、自分のシステムが影響を受けているかどうかの確認方法についての詳細は、こちらの GitHub ページを参照されたい。
また、Nutanix、OVA、QEMU、または raw プロバイダでビルドされたイメージにも同じ問題が存在するが、悪用に成功するための要件が追加されているため、深刻度は中程度であると警告されている。この脆弱性は現在、CVE-2024-9594として特定されている。
具体的には、この脆弱性はビルドプロセス中にのみ悪用可能であり、攻撃者がイメージ作成中の VM にアクセスし、デフォルトの認証情報を持続させるためのアクションを実行する必要があります。
CVE-2024-9594 についても、同様の修正および緩和策が推奨されます。
Comments