La vulnerabilidad RCE de Kubernetes permite la ejecución remota de código
Tomer Peled, investigador de seguridad cibernética de Akamai, descubrió recientemente una vulnerabilidad RCE de Kubernetes que permite a los actores de amenazas ejecutar código de forma remota en puntos finales de Windows. No solo esto, sino que los actores de la amenaza pueden tener privilegios totales del sistema mientras ejecutan el código.
Peled explicó cómo se pueden explotar los volúmenes de Kubernetes, lo que puede dar lugar a una toma de control completa de los nodos de Windows dentro de un clúster Kubernetes. Este vulnerabilidad RCE de Kubernetes se registra como CVE-2023-5528 y tiene una puntuación CVSS de 7,2. La función de volúmenes de Kubernetes permite compartir datos entre pods de un clúster de Kubernetes o almacenar los datos fuera del ciclo de vida de un pod.
En este artículo, vamos a discutir varios aspectos de la vulnerabilidad RCE de Kubernetes y el parcheado de este fallo.
¿Cómo funciona la explotación de la vulnerabilidad RCE de Kubernetes?
Según Peled, la explotación de esta vulnerabilidad en particular es bastante fácil. Para obtener los privilegios de administrador, los actores de amenazas de ciberseguridad necesitarán crear pods y volúmenes persistentes de Kubernetes en nodos de Windows. Los privilegios del sistema se limitarán únicamente a los nodos afectados. LOS ARCHIVOS YAML son utilizados por el framework Kubernetes. Solo el uso de un complemento de almacenamiento en árbol para Windows puede hacer vulnerables los clústeres de Kubernetes.
Sin embargo, lo que ayuda a los atacantes a crear diferentes escenarios de ataque son los tipos de volumen que dan lugar a diferentes escenarios de ataque. Las versiones vulnerables de Kubernetes incluyen todas las instalaciones por defecto que se ejecutan en una versión anterior a la 1.28.4. Peled también dijo que la explotación de la vulnerabilidad RCE de Kubernetes era probable que aumentara debido al hecho de que el fallo estaba presente en el código fuente.
¿Qué llevó a descubrir el fallo RCE de Kubernetes?
La investigación de otra vulnerabilidad en Kubernetes ayudó a descubrir el fallo CVE-2023-5528. Ambas recientes vulnerabilidades de Kubernetes tenían la misma causa, es decir, la falta de sanitización de la entrada del usuario y llamadas a funciones inseguras.
La vulnerabilidad anterior, denominada CVE-2023-3676, podía aprovecharse mediante la aplicación de un archivo YAML malicioso en el clúster Kubernetes. Este descubrimiento condujo al descubrimiento de otras dos vulnerabilidades y, hacia el final de esta investigación, se descubrió CVE-2023-5528.
Mitigación de exploits en Kubernetes
El símbolo del sistema de Windows (cmd) tiene la capacidad de permitir varios comandos en la misma línea. Por lo tanto, el control de un parámetro en la ejecución de cmd puede significar la ejecución de la vulnerabilidad de inyección de comandos. La inyección puede situarse en el espacio de almacenamiento que un usuario puede solicitar mediante un persistentVolumeClaim. El parche mitiga las posibilidades de inyección de comandos mediante la eliminación de la llamada a cmd y su sustitución por una función GO nativa. La función GO realiza la misma operación que la llamada cmd.
Conclusión
El descubrimiento de la última vulnerabilidad RCE de Kubernetes garantiza que las las empresas deben verificar siempre los YAML de configuración de Kubernetes antes de desplegarlo. Esto se debe a que varias áreas de código en Kubernetes carecen de sanitización de entrada de usuario por lo que es vulnerable a las explotaciones. Los problemas de ciberseguridad como la ejecución remota de código de Kubernetes deben tomarse siempre en serio y abordarse con medidas de ciberseguridad robustas.
Las fuentes de este artículo incluyen artículos de Dark Reading y The Hacker News.