Akamai ha scoperto una grave vulnerabilità di Kubernetes, il popolare sistema open-source per la gestione dei container. Identificata come CVE-2024-9042, questa vulnerabilità consente l’esecuzione remota di codice (Remote Code Execution, RCE) con privilegi di sistema su tutti i nodi Windows all’interno di un cluster Kubernetes configurato per utilizzare la funzionalità “Log Query”.

La vulnerabilità è stata scoperta dai ricercatori di sicurezza di Akamai durante un’analisi approfondita dei meccanismi di logging di Kubernetes. La debolezza sfrutta una mancanza di validazione dei parametri nella funzione “Log Query”, introdotta per migliorare la gestione dei log remoti. Tramite una semplice richiesta GET, un attaccante potrebbe sfruttare questa vulnerabilità per prendere il controllo completo dei nodi Windows di un cluster Kubernetes.

L’attacco è stato verificato su installazioni di default di Kubernetes (versioni precedenti alla 1.32.1) sia in ambienti on-premise, sia su Azure Kubernetes Service. I ricercatori hanno fornito un esempio di comando “curl” che dimostra come un utente malintenzionato possa iniettare comandi PowerShell attraverso il parametro “Pattern”.

kubernetes

Per proteggersi da questa vulnerabilità, Akamai consiglia di:

  • Aggiornare Kubernetes alla versione 1.32.1 o successiva, in cui il problema è stato risolto
  • Verificare se il cluster utilizza nodi Windows e la funzionalità “Log Query”
  • Implementare il modulo Role-Based Access Contol (RBAC) per limitare l’accesso a “Log Query”

Il team di Kubernetes ha inoltre rilasciato una patch che utilizza una variabile d’ambiente (“kublet_pattern”) per impedire l’iniezione di comandi, trattando tutti i parametri utente come stringhe letterali. Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno.