Tres fallas de seguridad de alta gravedad descubiertas en Kubernetes que podrían ser aprovechadas para lograr la ejecución remota de código con privilegios elevados en endpoints Windows dentro de un clúster.
Los problemas, rastreados como CVE-2023-3676, CVE-2023-3893 y CVE-2023-3955, tienen puntuaciones CVSS de 8.8 y afectan a todos los entornos de Kubernetes con nodos de Windows. Las correcciones para las vulnerabilidades se publicaron el 23 de agosto de 2023, tras la divulgación responsable por parte de Akamai el 13 de julio de 2023.
“La vulnerabilidad permite la ejecución remota de código con privilegios SYSTEM en todos los endpoints de Windows dentro de un clúster de Kubernetes”, dijo el investigador de seguridad de Akamai, Tomer Peled. “Para explotar esta vulnerabilidad, el atacante necesita aplicar un archivo YAML malicioso en el clúster”.
Amazon Web Services (AWS), Google Cloud y Microsoft Azure han publicado avisos para los errores, que afectan a las siguientes versiones de Kubelet:
- Kubelet < v1.28.1
- Kubelet < v1.27.5
- Kubelet < v1.26.8
- kubelet < v1.25.13, y
- Kubelet < v1.24.17
En pocas palabras, CVE-2023-3676 permite a un atacante con privilegios de “apply”, lo que hace posible interactuar con la API de Kubernetes, inyectar código arbitrario que se ejecutará en máquinas Windows remotas con privilegios SYSTEM.
“CVE-2023-3676 requiere privilegios bajos y, por lo tanto, establece una barra baja para los atacantes: todo lo que necesitan es tener acceso a un nodo y aplicar privilegios”, señaló Peled.
La vulnerabilidad, junto con CVE-2023-3955, surge como resultado de la falta de saneamiento de entradas, lo que permite analizar una cadena de ruta especialmente diseñada como parámetro de un comando de PowerShell, lo que lleva efectivamente a la ejecución de comandos.
CVE-2023-3893, por otro lado, se relaciona con un caso de escalada de privilegios en el proxy de la interfaz de almacenamiento de contenedores (CSI) que permite a un actor malintencionado obtener acceso de administrador en el nodo.
“Un tema recurrente entre estas vulnerabilidades es un lapso en la desinfección de entrada en la portabilidad específica de Windows del Kubelet”, destacó la plataforma de seguridad Kubernetes ARMO el mes pasado.
“Específicamente, cuando se manejan las definiciones de Pod, el software no valida o desinfecta adecuadamente las entradas del usuario. Este descuido permite a los usuarios malintencionados crear pods con variables de entorno y rutas de host que, cuando se procesan, conducen a comportamientos no deseados, como la escalada de privilegios”.
