Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Mit Standard-Zugangsdaten: Kubernetes-Lücke ermöglicht Root-Zugriff per SSH

Betroffen sind Images, die mit dem Kubernetes Image Builder erstellt wurden. Es gibt zwar einen Patch , doch der schützt bestehende Images nicht.
/ Marc Stöckel
3 Kommentare News folgen (öffnet im neuen Fenster)
Gestapelte Container (Symbolbild) (Bild: pixabay.com / distelAPPArath)
Gestapelte Container (Symbolbild) Bild: pixabay.com / distelAPPArath

Einige Nutzer der von Google entwickelten Containerorchestrierungsplattform Kubernetes sind möglicherweise von einer kritischen Sicherheitslücke betroffen. Konkret bezieht sich die Schwachstelle auf den Kubernetes Image Builder bis einschließlich Version 0.1.37. Bei damit erstellten Images wird in einigen Fällen die Anmeldung mit Standard-Zugangsdaten aktiviert(öffnet im neuen Fenster) , sodass sich Angreifer an betroffenen Nodes potenziell per SSH anmelden und sich einen Root-Zugriff verschaffen können.

Besonders gefährdet sind jene Images, die via Proxmox erstellt wurden. In diesem Fall ist die Sicherheitslücke als CVE-2024-9486(öffnet im neuen Fenster) registriert und weist mit einem CVSS-Wert von 9,8 einen kritischen Schweregrad auf. Den Angaben nach werden die genannten Zugangsdaten bei Proxmox nicht deaktiviert, sodass die Möglichkeit des unbefugten Zugriffs dauerhaft bestehen bleibt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auch Nutanix, OVA und QEMU betroffen

Etwas weniger brisant ist die Schwachstelle derweil beim Einsatz der Plattformen Nutanix, OVA oder QEMU. Diese deaktivieren die Standard-Zugangsdaten am Ende des Build-Prozesses, sodass ein Missbrauch im Grunde nur während der Image-Erstellung möglich ist. In diesem Fall ist die Lücke als CVE-2024-9594(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 6,3 nur einen mittleren Schweregrad.

"Da diese Images während des Image-Erstellungsprozesses anfällig waren, sind sie nur dann betroffen, wenn ein Angreifer in der Lage war, die VM zu erreichen, in der die Image-Erstellung stattfand, und die Schwachstelle nutzte, um das Image zum Zeitpunkt der Image-Erstellung zu ändern" , heißt es dazu in der Schwachstellenbeschreibung.

Patch ist verfügbar, schützt aber alte Images nicht

Wer zukünftig erstellte Images vor CVE-2024-9486 und CVE-2024-9594 schützen will, muss den Kubernetes Image Builder mindestens auf Version 0.1.38 aktualisieren. Wie einem Beitrag auf Github(öffnet im neuen Fenster) zu entnehmen ist, besteht der Fix darin, dass für den Prozess der Image-Erstellung ein zufällig generiertes Passwort erzeugt und das Builder-Konto nach Abschluss der Erstellung deaktiviert wird.

Zu beachten ist, dass das Update für den Kubernetes Image Builder bestehende Images nicht unmittelbar vor unbefugten Zugriffen schützt. Die Images müssen dafür mit der korrigierten Version neu erstellt werden. Für Fälle, bei denen dies nicht sofort möglich ist, wird jedoch ein Workaround angeboten. Dieser besteht darin, das Builder-Konto auf betroffenen VMs über den Befehl "usermod -L builder" manuell zu deaktivieren.

Zur Startseite 3 Kommentare

Relevante Themen

SoftwareSecuritySicherheitslückeUpdates & PatchesGoogleDatensicherheitContainerVirtualisierungKubernetes