Kubernetes RCE-Schwachstelle ermöglicht Remotecode-Ausführung
Tomer Peled, ein Cybersecurity-Forscher von Akamai, entdeckte kürzlich eine Kubernetes-RCE-Schwachstelle die es Bedrohungsakteuren ermöglicht, aus der Ferne Code auf Windows-Endpunkten auszuführen. Darüber hinaus können die Bedrohungsakteure bei der Ausführung des Codes über vollständige Systemrechte verfügen.
Peled erklärte wie die Kubernetes-Volumes ausgenutzt werden können, was zu einer vollständigen Übernahme von Windows-Knoten innerhalb eines Kubernetes-Clusters führen kann. Diese Kubernetes-RCE-Schwachstelle wird unter der Bezeichnung CVE-2023-5528 geführt und hat einen CVSS-Wert von 7.2. Die Kubernetes-Volumes-Funktion unterstützt die gemeinsame Nutzung von Daten zwischen Pods in einem Kubernetes-Cluster oder speichert die Daten außerhalb des Lebenszyklus eines Pods.
In diesem Artikel werden wir verschiedene Aspekte der Kubernetes RCE-Schwachstelle und die Behebung dieser Schwachstelle.
Wie funktioniert die Ausnutzung der Kubernetes RCE-Schwachstelle?
Laut Peled ist die Ausnutzung dieser besonderen Schwachstelle recht einfach. Um die Administratorrechte zu erlangen, müssen die Cybersecurity-Akteure Pods und persistente Kubernetes-Volumes auf Windows-Knoten erstellen. Die Systemprivilegien werden nur auf die betroffenen Knoten beschränkt sein. YAML Dateien werden vom Kubernetes-Framework verwendet. Nur die Verwendung eines In-Tree-Storage-Plugins für Windows kann Kubernetes-Cluster angreifbar machen.
Was den Angreifern jedoch dabei hilft, verschiedene Angriffsszenarien zu erstellen, sind Volumentypen, die zu unterschiedlichen Angriffsszenarien führen. Zu den anfälligen Versionen von Kubernetes gehören alle Standardinstallationen, die auf einer Version vor 1.28.4 laufen. Peled sagte auch, dass die Ausnutzung der Kubernetes-RCE-Schwachstelle wahrscheinlich zunehmen werde, da die Schwachstelle im Quellcode vorhanden sei.
Was führte zur Entdeckung des Kubernetes RCE-Fehlers?
Die Untersuchung einer anderen Schwachstelle in Kubernetes trug zur Entdeckung der Sicherheitslücke CVE-2023-5528 bei. Diese beiden jüngsten Kubernetes-Sicherheitslücken hatten dieselbe Ursache, nämlich die fehlende Bereinigung von Benutzereingaben und unsichere Funktionsaufrufe.
Die frühere Schwachstelle mit der Bezeichnung CVE-2023-3676 konnte durch die Anwendung einer bösartigen YAML-Datei auf den Kubernetes-Cluster ausgenutzt werden. Diese Entdeckung führte zur Aufdeckung von zwei weiteren Schwachstellen, und gegen Ende dieser Untersuchung wurde CVE-2023-5528 entdeckt.
Entschärfung von Kubernetes-Exploits
Die Windows-Eingabeaufforderung (cmd) kann mehrere Befehle in der gleichen Zeile zulassen. Daher kann die Kontrolle eines Parameters in der cmd-Ausführung die Ausführung der Schwachstelle der Befehlsinjektion bedeuten. Die Injektion kann in dem Speicherplatz platziert werden, den ein Benutzer mit einem persistentVolumeClaim anfordern kann. Der Patch entschärft die Möglichkeit der Befehlsinjektion durch die Löschung des cmd-Aufrufs und seine Ersetzung durch eine native GO-Funktion. Die GO-Funktion führt denselben Vorgang aus wie der cmd-Aufruf.
Schlussfolgerung
Die Entdeckung der neuesten Kubernetes RCE-Schwachstelle rechtfertigt, dass Unternehmen immer die YAMLs der Kubernetes-Konfiguration überprüfen müssen, bevor sie Kubernetes einsetzen. Der Grund dafür ist, dass mehrere Code-Bereiche in Kubernetes keine Bereinigung von Benutzereingaben aufweisen, was sie anfällig für Angriffe macht. Cybersicherheitsprobleme wie die Remotecodeausführung von Kubernetes müssen immer ernst genommen und mit folgenden Maßnahmen angegangen werden robuste Cybersicherheitsmaßnahmen.
Zu den Quellen für diesen Beitrag gehören Artikel in Dunkles Lesen und Die Hacker Nachrichten.