警报:新的 Kubernetes 漏洞可对 Windows 端点实施远程攻击

VSole2023-09-18 09:44:59

不久前,研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞,这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。

这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,CVSS 评分为 8.8,影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后,这些漏洞的修复程序于 2023 年 8 月 23 日发布。

Akamai 安全研究员 Tomer Peled表示:该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。要利用这个漏洞,攻击者需要在集群上应用恶意YAML文件。

亚马逊网络服务(AWS)、谷歌云(Google Cloud)和微软Azure都发布了针对这些漏洞的公告,这些漏洞影响到以下版本的Kubelet

  • kubelet < v1.28.1
  • kubelet < v1.27.5
  • kubelet < v1.26.8
  • kubelet < v1.25.13,以及
  • kubelet < v1.24.17

简而言之,CVE-2023-3676 允许拥有 "应用 "权限(可与 Kubernetes API 交互)的攻击者注入任意代码,这些代码将在具有 SYSTEM 权限的远程 Windows 机器上执行。

Peled 还指出,CVE-2023-3676要求的权限很低,因此为攻击者设置的门槛也很低。他们需要的只是访问节点和应用权限。

该漏洞与 CVE-2023-3955 一样,都是由于缺乏输入清理而导致的,从而使特制的路径字符串被解析为 PowerShell 命令的参数,从而有效地执行命令。

另一方面,CVE-2023-3893 与容器存储接口(CSI)代理中的权限升级案例有关,它允许恶意行为者获得节点上的管理员访问权限。

具体来说,在处理 Pod 定义时,软件未能充分验证或清理用户输入。这一疏忽使得恶意用户能够制作带有环境变量和主机路径的 pod,这些环境变量和主机路径在处理时会导致权限升级等后果。

kubernetes网络安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eSecurity Planet评选出的《2021年TOP20网络安全供应商》。该榜单由国外研究机构评选出,没有中国企业上榜,请各位读者站在参考和学习的角度阅读。
Kubernetes通常被称为“K8s”,是一种非常流行的开源容器编排系统,可以自动部署、扩展和管理容器化工作负载。
展示在Kubernetes集群中的攻击和防御思路
Kubescape可测试Kubernetes是否遵循NSA和CISA强化指南中的定义。
kubelet 裸奔内部同事提出了有可能是 kubelet 被入侵的问题,检查过其他组件后,开始检查 kubelet组件。最后检查到 kubelet 日志中有异常:kubelet 设置不当确认入侵问题,kubelet 参数设置错误,允许直接访问 kubelet 的 API。发现是 kubelet 的启动项中,该位置被注释掉:然后文件中禁止匿名访问的配置没有读取。
Kubernetes 是一个开源容器编排系统,用于自动化软件部署、扩展和管理。Shadowserver 基金会开始扫描可访问的 Kubernetes API 实例,这些实例以 200 OK HTTP 响应对探测器进行响应。
近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿,后续也找到了原因,所幸只是用来挖矿…网络安全是个严肃的问题,它总是在不经意间出现,等你反应过来却已经迟了。
近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿,后续也找到了原因,所幸只是用来挖矿…网络安全是个严肃的问题,它总是在不经意间出现,等你反应过来却已经迟了。希望各位读者看完后也有所启发,去检查及加固自己的集群。问题出现后,我们第一时间关闭了docker,其实应该隔离下环境, 把挖矿程序dump下来,以便后续分析。
VSole
网络安全专家