ClickCease Kubernetes RCE-Schwachstelle ermöglicht Remotecode-Ausführung

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Kubernetes RCE-Schwachstelle ermöglicht Remotecode-Ausführung

von Wajahat Raja

25. März 2024. TuxCare-Expertenteam

Tomer Peled, ein Cybersecurity-Forscher von Akamai, entdeckte kürzlich eine Kubernetes-RCE-Schwachstelle die es Bedrohungsakteuren ermöglicht, aus der Ferne Code auf Windows-Endpunkten auszuführen. Darüber hinaus können die Bedrohungsakteure bei der Ausführung des Codes über vollständige Systemrechte verfügen.

Peled erklärte wie die Kubernetes-Volumes ausgenutzt werden können, was zu einer vollständigen Übernahme von Windows-Knoten innerhalb eines Kubernetes-Clusters führen kann. Diese Kubernetes-RCE-Schwachstelle wird unter der Bezeichnung CVE-2023-5528 geführt und hat einen CVSS-Wert von 7.2. Die Kubernetes-Volumes-Funktion unterstützt die gemeinsame Nutzung von Daten zwischen Pods in einem Kubernetes-Cluster oder speichert die Daten außerhalb des Lebenszyklus eines Pods.

In diesem Artikel werden wir verschiedene Aspekte der Kubernetes RCE-Schwachstelle und die Behebung dieser Schwachstelle.

 

Wie funktioniert die Ausnutzung der Kubernetes RCE-Schwachstelle?


Laut Peled ist die Ausnutzung dieser besonderen Schwachstelle recht einfach. Um die Administratorrechte zu erlangen, müssen die Cybersecurity-Akteure Pods und persistente Kubernetes-Volumes auf Windows-Knoten erstellen. Die Systemprivilegien werden nur auf die betroffenen Knoten beschränkt sein.
YAML Dateien werden vom Kubernetes-Framework verwendet. Nur die Verwendung eines In-Tree-Storage-Plugins für Windows kann Kubernetes-Cluster angreifbar machen.

Was den Angreifern jedoch dabei hilft, verschiedene Angriffsszenarien zu erstellen, sind Volumentypen, die zu unterschiedlichen Angriffsszenarien führen. Zu den anfälligen Versionen von Kubernetes gehören alle Standardinstallationen, die auf einer Version vor 1.28.4 laufen. Peled sagte auch, dass die Ausnutzung der Kubernetes-RCE-Schwachstelle wahrscheinlich zunehmen werde, da die Schwachstelle im Quellcode vorhanden sei.


Was führte zur Entdeckung des Kubernetes RCE-Fehlers?


Die Untersuchung einer anderen Schwachstelle in Kubernetes trug zur Entdeckung der Sicherheitslücke CVE-2023-5528 bei. Diese beiden
jüngsten Kubernetes-Sicherheitslücken hatten dieselbe Ursache, nämlich die fehlende Bereinigung von Benutzereingaben und unsichere Funktionsaufrufe.

Die frühere Schwachstelle mit der Bezeichnung CVE-2023-3676 konnte durch die Anwendung einer bösartigen YAML-Datei auf den Kubernetes-Cluster ausgenutzt werden. Diese Entdeckung führte zur Aufdeckung von zwei weiteren Schwachstellen, und gegen Ende dieser Untersuchung wurde CVE-2023-5528 entdeckt.


Entschärfung von Kubernetes-Exploits


Die Windows-Eingabeaufforderung (cmd) kann mehrere Befehle in der gleichen Zeile zulassen. Daher kann die Kontrolle eines Parameters in der cmd-Ausführung die Ausführung der Schwachstelle der Befehlsinjektion bedeuten. Die Injektion kann in dem Speicherplatz platziert werden, den ein Benutzer mit einem persistentVolumeClaim anfordern kann. Der Patch entschärft die Möglichkeit der Befehlsinjektion durch die Löschung des cmd-Aufrufs und seine Ersetzung durch eine native GO-Funktion. Die GO-Funktion führt denselben Vorgang aus wie der cmd-Aufruf. 


Schlussfolgerung


Die Entdeckung der neuesten
Kubernetes RCE-Schwachstelle rechtfertigt, dass Unternehmen immer die YAMLs der Kubernetes-Konfiguration überprüfen müssen, bevor sie Kubernetes einsetzen. Der Grund dafür ist, dass mehrere Code-Bereiche in Kubernetes keine Bereinigung von Benutzereingaben aufweisen, was sie anfällig für Angriffe macht. Cybersicherheitsprobleme wie die Remotecodeausführung von Kubernetes müssen immer ernst genommen und mit folgenden Maßnahmen angegangen werden robuste Cybersicherheitsmaßnahmen.

Zu den Quellen für diesen Beitrag gehören Artikel in Dunkles Lesen und Die Hacker Nachrichten.

 

Zusammenfassung
Kubernetes RCE-Schwachstelle ermöglicht Remotecode-Ausführung
Artikel Name
Kubernetes RCE-Schwachstelle ermöglicht Remotecode-Ausführung
Beschreibung
Eine Kubernetes-RCE-Schwachstelle ermöglicht die Remote-Ausführung von Code durch Bedrohungsakteure mit Systemprivilegien. Erfahren Sie mehr über diese Schwachstelle hier!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!