Έχουν δημοσιευτεί λεπτομέρειες σχετικά με μία σοβαρή ευπάθεια στο Kubernetes που θα μπορούσε να επιτρέψει σε χάκερ να εκτελέσει απομακρυσμένο κώδικα με υψηλά προνόμια υπό συγκεκριμένες συνθήκες.

“Η ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα με προνόμια SYSTEM σε όλες τις συσκευές Windows εντός ενός συστήματος Kubernetes”, δήλωσε ο ερευνητής ασφαλείας της Akamai, Tomer Peled. “Για να εκμεταλλευτεί αυτή την ευπάθεια, οι χάκερς εφαρμόζουν κακόβουλα αρχεία YAML”.

Διαβάστε επίσης: Dero coin cryptojacking στοχεύει Kubernetes container;

Κατά την ανίχνευση ως CVE-2023-5528 με βαθμολογία CVSS: 7.2, η ευπάθεια επηρεάζει τις εκδόσεις του kubelet, συμπεριλαμβανομένης της έκδοσης 1.8.0 και μεταγενέστερων. Αντιμετωπίστηκε μέσω των ενημερώσεων που δόθηκαν στις 14 Νοεμβρίου 2023.

kubelet v1.28.4

kubelet v1.27.8

kubelet v1.26.11, και

kubelet v1.25.16

“Ανακαλύφθηκε ένα ζήτημα ασφαλείας στο Kubernetes όπου ένας χρήστης που μπορεί να δημιουργήσει pods σε κόμβους των Windows, στους οποίους ενδέχεται να αποκτήσει δικαιώματα διαχειριστή”, ανέφεραν οι συντηρητές Kubernetes σε μια ανακοίνωση.

Η επιτυχής εκμετάλλευση της ευπάθειας θα μπορούσε να οδηγήσει στην πλήρη εξαγορά όλων των κόμβων των Windows σε ένα σύστημα. Αξίζει να σημειωθεί ότι ένα άλλο παρόμοιο σύνολο ευπαθειών είχε ήδη ανακαλυφθεί από την web εταιρεία υποδομών τον Σεπτέμβριο του 2023.

Δείτε επίσης: Fortinet: Κρίσιμη ευπάθεια στο FortiClient EMS

Το ζήτημα πηγάζει από τη χρήση της “μη ασφαλούς κλήσης συνάρτησης και έλλειψης απολύμανσης εισόδου χρήστη” και συνδέεται με τη δυνατότητα που ονομάζεται “Kubernetes volumes”, ειδικά χρησιμοποιώντας έναν τύπο τόμου γνωστό ως “local volumes”. Αυτό επιτρέπει στους χρήστες να συνδέουν έναν δίσκο σε μια ομάδα διαφημίσεων με τον καθορισμό ή τη δημιουργία ενός “PersistentVolume”.

“Κατά τη δημιουργία ενός pod, η υπηρεσία kubelet θα φτάσει (τελικά) στη συνάρτηση “MountSensitive”, σύμφωνα με τον Peled. “Μέσα , υπάρχει μια κλήση γραμμής cmd στο “exec.command”, η οποία δημιουργεί μια συμβολική σύνδεση μεταξύ της θέσης στον κόμβο και της θέσης μέσα στο pod.”

Αυτό παρέχει ένα κενό που μπορεί να εκμεταλλευτεί ένας εισβολέας δημιουργώντας ένα PersistentVolume με μια ειδικά δημιουργημένη παράμετρο διαδρομής στο αρχείο YAML, το οποίο ενεργοποιεί την ένεση και την εκτέλεση εντολών χρησιμοποιώντας το διαχωριστικό εντολών “&&”.

Με σκοπό να εξαλείψει τη δυνατότητα ενέσεων, η ομάδα του Kubernetes αποφάσισε να απορρίψει την κλήση cmd και να υιοθετήσει μια ενσωματωμένη συνάρτηση σε GO που να εκτελεί την ίδια λειτουργία “os.Symlink,” δήλωσε ο Peled σχετικά με την αναβάθμιση του κώδικα.

Μια σοβαρή ευπάθεια ανακαλύφθηκε και στην κάμερα Zhejiang Uniview ISC μοντέλο 2500-S. Αυτή η ευπάθεια (CVE-2024-0778, βαθμολογία CVSS: 9,8) χρησιμοποιείται από χάκερς για τη δημιουργία ενός botnet Mirai παραλλαγής με το όνομα NetKiller. Το botnet αυτό μοιράζεται υποδομή με το botnet Condi.

Δείτε ακόμα: Ευπάθεια SmartScreen χρησιμοποιείται για τη διανομή του DarkGate malware

“Το botnet Condi δημοσιεύτηκε στο Github μεταξύ 17 Αυγούστου και 12 Οκτωβρίου 2023, όπως ανακοίνωσε η Akamai. Με βάση το γεγονός ότι ο source code του Condi είναι διαθέσιμος εδώ και μήνες, υπάρχει πιθανότητα να χρησιμοποιείται από άλλους παράγοντες απειλών.

Πηγή: thehackernews