Grave vulnerabilità in Kubernetes

Questa falla permette l’esecuzione di codice da remoto con privilegi SYSTEM su tutti gli endpoint Windows all’interno di un cluster Kubernetes

Akamai ha identificato una grave vulnerabilità in Kubernetes, nota come CVE_2023_5528, con un punteggio CVSS di 7,2. Inizialmente, l’indagine ha focalizzato l’attenzione sulla CVE-2023-3676 (CVSS 8.8), una vulnerabilità relativa all’injection di comandi, la quale poteva essere sfruttata tramite l’applicazione di file YAML dannosi al cluster. Kubernetes impiega ampiamente i file YAML per la configurazione di varie componenti, che vanno dall’interfaccia di rete dei container alla gestione dei pod e dei segreti. Pertanto, l’exploit di questa falla avrebbe potuto comportare conseguenze gravi.

La rinvenuta vulnerabilità ha evidenziato altre due falle connesse: una vulnerabilità legata a chiamate di funzioni non sicure e una carenza di sanitizzazione degli input utente. Nello specifico, l’assenza di sanitizzazione del parametro subPath nei file YAML per la creazione di pod con volumi espone al rischio di iniezioni dannose. Questa è stata la scoperta iniziale, tuttavia, ulteriori indagini condotte da Akamai hanno individuato un possibile punto debole nel codice che potrebbe generare un’altra vulnerabilità di injection di comandi. Dopo una serie di tentativi, è stato dimostrato che era possibile eseguire comandi con privilegi “kubelet” (SISTEMA).

Akamai ha esaminato nel dettaglio la vulnerabilità e le problematiche nel codice sorgente di Kubernetes che l’hanno permessa, oltre a valutare l’efficacia della patch del team Kubernetes. Pur raccomandando l’applicazione tempestiva della patch, Akamai fornisce brevi guide su come individuare i nodi interessati e su come implementare regole di Open Policy Agent (OPA) per rilevare e bloccare tali comportamenti.