Scoperta vulnerabilità grave in Kubernetes: a rischio l’intero cluster
I ricercatori di Akamai hanno scoperto una grave vulnerabilità in Kubernetes che è stata assegnata a CVE-2023-3676 con un punteggio CVSS di 8,8. Questa scoperta ha portato all’identificazione di altre due vulnerabilità (CVE-2023-3955 e CVE-2023-3893) che condividono la stessa causa principale, ovvero una chiamata di funzione non sicura e la mancanza di sanitizzazione dell’input dell’utente.
La vulnerabilità consente l’esecuzione di codice remoto con privilegi SYSTEM su tutti gli endpoint Windows all’interno di un cluster Kubernetes. Per sfruttare questa vulnerabilità, l’aggressore deve applicare un file YAML dannoso al cluster. YAML è un linguaggio di serializzazione dei dati simile a JSON, utilizzato principalmente nei file di configurazione e, in quanto tale, svolge un ruolo importante in Kubernetes. Il framework Kubernetes utilizza infatti i file YAML praticamente per tutto, dalla configurazione dell’interfaccia di rete dei container fino alla gestione dei pod.
Questa vulnerabilità può essere sfruttata su installazioni predefinite di Kubernetes ed è stata testata sia su distribuzioni on-premise, sia su Azure Kubernetes Service. Un attaccante può essenzialmente prendere il controllo di un intero cluster Kubernetes. Inoltre, dal punto di vista tecnico ha una bassa barriera all’ingresso, il che aumenta la possibilità che venga sfruttato in modo illecito.
Tutte le versioni dei cluster inferiore alla 1.28 sono vulnerabili alle tre vulnerabilità. Poiché queste non richiedono privilegi elevati per essere sfruttate, è possibile che molti cybercriminali continuino a utilizzarle. L’indicazione di Akamai è di aggiornare il prima possibile i cluster all’ultima versione disponibile per eliminare il rischio di questo tipo di attacco. Nel caso non fosse possibile aggiornare Kubernetes, Akamai consiglia di applicare delle policy per il controllo degli accessi o dei controlli per bloccare la creazione di pod da YAML con contenuti potenzialmente malevoli.