Poważna luka w Kubernetes Image Builder – pozwala na nieautoryzowany dostęp po SSH do maszyn wirtualnych

Kubernetes to bardzo rozbudowane oprogramowanie do zarządzania i skalowania skonteneryzowanego środowiska. Szeroka funkcjonalność oferowana jest przez wiele modułów, a jednym z nich jest Image Builder, który pozwala na tworzenie obrazów maszyn wirtualnych, które następnie uruchamiane są np. za pomocą Proxmox czy QEMU.

Na etapie tworzenia obrazu maszyny wirtualnej wykorzystywane są domyślne poświadczenia, które nie zostają później unieważnione, co w konsekwencji pozwala na zalogowanie się po SSH do uruchomionej maszyny wirtualnej, która powstała na bazie obrazu zbudowanego przez Kubernetes Image Buildera. 

Podatność otrzymała dwie sygnatury, w zależności od platformy wirtualizacji. Dla Proxmox została oznaczona jako CVE-2024-9486 i wyceniona jako krytyczna. Z kolei CVE-2024-9594 dotyczy QEMU, OVA i Nutanixa – tutaj podatność wyceniono na poziom średni, ponieważ wymagana jest modyfikacja budowanego obrazu przez atakującego:

CVE-2024-9594: VMs using images built with the Nutanix, OVA, QEMU or raw providers were vulnerable during the build process and are affected only if an attacker was able to reach the VM where the image build was happening and used the vulnerability to modify the image at the time the image build was occurring.

W swoim advisory, zespół Kubernetesa informuje o tym jak sprawdzić które wersje są podatne. W celu naprawy podatności należy zaktualizować Image Buildera. Należy bezwzględnie pamiętać o przebudowie wszystkich maszyn wirtualnych, które mogły zostać dotknięte podatnością, przy pomocy nowszej wersji Image Buildera. 

~fc