ClickCease La vulnérabilité RCE de Kubernetes permet l'exécution de code à distance

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La vulnérabilité RCE de Kubernetes permet l'exécution de code à distance

Wajahat Raja

Le 25 mars 2024 - L'équipe d'experts de TuxCare

Tomer Peled, un chercheur en cybersécurité d'Akamai, a récemment découvert une vulnérabilité RCE de Kubernetes qui permet aux acteurs de la menace d'exécuter du code à distance sur les terminaux Windows. De plus, les acteurs de la menace peuvent disposer de tous les privilèges du système lors de l'exécution du code.

Peled a expliqué comment les volumes de Kubernetes peuvent être exploités, ce qui peut entraîner une prise de contrôle complète des nœuds Windows à l'intérieur d'un cluster Kubernetes. Cette vulnérabilité RCE de Kubernetes est répertoriée sous le nom de CVE-2023-5528 et a un score CVSS de 7,2. La fonctionnalité des volumes Kubernetes prend en charge le partage des données entre les pods sur un cluster Kubernetes, ou stocke les données en dehors du cycle de vie d'un pod.

Dans cet article, nous allons discuter des différents aspects de la vulnérabilité RCE de vulnérabilité RCE de Kubernetes et son correctif.

 

Comment fonctionne l'exploitation de la vulnérabilité RCE de Kubernetes ?


Selon Peled, l'exploitation de cette vulnérabilité particulière est assez facile. Afin d'obtenir les privilèges d'administrateur, la création de pods et de volumes Kubernetes persistants sur les nœuds Windows sera requise par les acteurs de la menace de cybersécurité. Les privilèges système seront limités aux nœuds concernés.
LES FICHIERS YAML sont utilisés par le framework Kubernetes. Seule l'utilisation d'un plugin de stockage in-tree pour Windows peut rendre les clusters Kubernetes vulnérables.

Cependant, ce qui aide les attaquants à créer différents scénarios d'attaque, ce sont les types de volumes qui donnent lieu à différents scénarios d'attaque. Les versions vulnérables de Kubernetes comprennent toutes les installations par défaut qui fonctionnent sur une version antérieure à 1.28.4. M. Peled a également déclaré que l'exploitation de la vulnérabilité vulnérabilité RCE de Kubernetes était susceptible d'augmenter en raison de la présence de la faille dans le code source.


Qu'est-ce qui a conduit à la découverte de la faille RCE de Kubernetes ?


L'étude d'une autre vulnérabilité dans Kubernetes a permis de découvrir la faille CVE-2023-5528. Ces deux
récentes vulnérabilités de Kubernetes ont la même cause profonde, à savoir l'absence de vérification des entrées utilisateur et des appels de fonction non sécurisés.

La vulnérabilité précédente, appelée CVE-2023-3676, pouvait être exploitée par l'application d'un fichier YAML malveillant sur le cluster Kubernetes. Cette découverte a conduit à la mise en évidence de deux autres vulnérabilités, et vers la fin de cette enquête, la CVE-2023-5528 a été découverte.


Atténuation des exploits dans Kubernetes


L'invite de commande (cmd) de Windows a la capacité d'autoriser plusieurs commandes sur la même ligne. Par conséquent, le contrôle d'un paramètre dans l'exécution de cmd peut signifier l'exécution de la vulnérabilité d'injection de commande. L'injection peut être placée dans l'espace de stockage qu'un utilisateur peut demander en utilisant un persistentVolumeClaim. Le correctif atténue les risques d'injection de commande en supprimant l'appel cmd et en le remplaçant par une fonction GO native. La fonction GO effectue la même opération que l'appel cmd. 


Conclusion


La découverte de la dernière vulnérabilité
vulnérabilité RCE de Kubernetes justifie que les entreprises doivent toujours vérifier les YAML de configuration de Kubernetes avant de déployer Kubernetes. En effet, plusieurs zones de code dans Kubernetes manquent de vérification des entrées utilisateur, ce qui les rend vulnérables aux exploitations. Les problèmes de cybersécurité tels que l'exécution de code à distance dans Kubernetes doivent toujours être pris au sérieux et traités à l'aide de mesures de cybersécurité robustes.

Les sources de cet article comprennent des articles publiés dans Dark Reading et The Hacker News.

 

Résumé
La vulnérabilité RCE de Kubernetes permet l'exécution de code à distance
Nom de l'article
La vulnérabilité RCE de Kubernetes permet l'exécution de code à distance
Description
Une vulnérabilité RCE de Kubernetes permet l'exécution de code à distance par des acteurs de la menace disposant de privilèges système. Pour en savoir plus sur cette faille, cliquez ici !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information