漏洞分享 - Kubernetes映像檔製作工具存在曝露root權限漏洞

                   

Kubernetes映像檔製作工具存在曝露root權限漏洞

一、摘要

         Kubernetes維護團隊指出，映像檔建置工具（Image Builder）當中，存在漏洞CVE-2024-9486、CVE-2024-9594，能讓攻擊者能夠藉由預設帳密資料存取虛擬機器（VM），並得到root權限。

二、存在風險

        Kubernetes資安回應團隊公布映像檔建置工具（Image Builder）漏洞CVE-2024-9486、CVE-2024-9594，攻擊者有可能藉此得到虛擬機器（VM）的root權限。

CVE-2024-9486：以Proxmox提供者（provider）建置而成的虛擬機器映像，無法停用當中的預設帳號，若用這些映像檔建置節點，可透過預設帳密進行存取，藉此取得root權限，CVSS風險評分達到9.8。

CVE-2024-9594：Nutanix、OVA、QEMU在映像建置過程也會啟用預設的帳密組態，而此預設帳密同樣可用於取得root權限，但在映像檔建置完成後，這些帳密就會被停用。只有當攻擊者能夠存取映像建置所在的虛擬機器並在建置期間，利用該漏洞修改映像時才會受到影響，CVSS評為6.3。

影響系統或版本如下：

Kubernetes Image Builder versions <= v0.1.37

三、建議改善措施：

           企業及使用者如有上述漏洞版本應儘速更新至0.1.38版。

       情資報告連結：

• https://github.com/kubernetes/kubernetes/issues/128006
  
• https://github.com/kubernetes/kubernetes/issues/128007