VietNetwork.Vn

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Kubernetes Image Builder, nếu khai thác thành công, có thể bị lợi dụng để giành quyền truy cập root trong một số trường hợp nhất định.

Lỗ hổng được theo dõi là CVE-2024-9486 (điểm CVSS: 9,8), đã được giải quyết trong phiên bản 0.1.38. Những người bảo trì dự án đã ghi nhận Nicolai Rybnikar vì đã phát hiện và báo cáo lỗ hổng.


Joel Smith của Red Hat cho biết trong một cảnh báo: "Một vấn đề bảo mật đã được phát hiện trong Kubernetes Image Builder, trong đó thông tin đăng nhập mặc định được bật trong quá trình xây dựng hình ảnh".

"Ngoài ra, các hình ảnh máy ảo được xây dựng bằng nhà cung cấp Proxmox không vô hiệu hóa các thông tin xác thực mặc định này và các nút sử dụng hình ảnh kết quả có thể được truy cập thông qua các thông tin xác thực mặc định này. Các thông tin xác thực có thể được sử dụng để có được quyền truy cập gốc."

Tuy nhiên, các cụm Kubernetes chỉ bị ảnh hưởng bởi lỗ hổng này nếu các nút của chúng sử dụng hình ảnh máy ảo (VM) được tạo thông qua dự án Image Builder với nhà cung cấp Proxmox.

Để giảm thiểu tạm thời, chúng tôi khuyên bạn nên vô hiệu hóa tài khoản builder trên các VM bị ảnh hưởng. Người dùng cũng được khuyến cáo nên xây dựng lại các hình ảnh bị ảnh hưởng bằng phiên bản cố định của Image Builder và triển khai lại chúng trên VM.

Bản sửa lỗi do nhóm Kubernetes đưa ra sẽ tránh sử dụng thông tin xác thực mặc định cho mật khẩu được tạo ngẫu nhiên được đặt trong suốt thời gian xây dựng hình ảnh. Ngoài ra, tài khoản của người xây dựng sẽ bị vô hiệu hóa khi kết thúc quá trình xây dựng hình ảnh.

Kubernetes Image Builder phiên bản 0.1.38 cũng giải quyết một sự cố liên quan (CVE-2024-9594, điểm CVSS: 6.3) liên quan đến thông tin xác thực mặc định khi bản dựng hình ảnh được tạo bằng Nutanix, OVA, QEMU hoặc nhà cung cấp thô.

Mức độ nghiêm trọng thấp hơn đối với CVE-2024-9594 bắt nguồn từ thực tế là các máy ảo (VM) sử dụng hình ảnh được xây dựng bằng các nhà cung cấp này chỉ bị ảnh hưởng "nếu kẻ tấn công có thể tiếp cận máy ảo nơi đang diễn ra quá trình xây dựng hình ảnh và sử dụng lỗ hổng để sửa đổi hình ảnh tại thời điểm diễn ra quá trình xây dựng hình ảnh".

Sự phát triển này diễn ra khi Microsoft phát hành các bản vá lỗi phía máy chủ cho ba lỗ hổng được đánh giá là Nghiêm trọng là Dataverse, Imagine Cup và Power Platform có thể dẫn đến leo thang đặc quyền và tiết lộ thông tin -

• CVE-2024-38139 (Điểm CVSS: 8,7) - Xác thực không đúng trong Microsoft Dataverse cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền qua mạng
• CVE-2024-38204 (Điểm CVSS: 7.5) - Kiểm soát truy cập không đúng cách trong Imagine Cup cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền trên mạng
• CVE-2024-38190 (Điểm CVSS: 8,6) - Thiếu quyền trong Power Platform cho phép kẻ tấn công chưa xác thực xem thông tin nhạy cảm thông qua vectơ tấn công mạng

Tiếp theo đó là việc tiết lộ lỗ hổng bảo mật nghiêm trọng trong công cụ tìm kiếm doanh nghiệp mã nguồn mở Apache Solr (CVE-2024-45216, điểm CVSS: 9,8) có thể mở đường cho việc bỏ qua xác thực trên các trường hợp dễ bị tấn công.

"Một kết thúc giả ở cuối bất kỳ đường dẫn URL API Solr nào sẽ cho phép các yêu cầu bỏ qua Xác thực trong khi vẫn duy trì hợp đồng API với Đường dẫn URL gốc", một khuyến cáo của GitHub về lỗ hổng nêu rõ. "Kết thúc giả này trông giống như một đường dẫn API không được bảo vệ, tuy nhiên nó bị xóa nội bộ sau khi xác thực nhưng trước khi định tuyến API".

Sự cố ảnh hưởng đến các phiên bản Solr từ 5.3.0 trước 8.11.4, cũng như từ 9.0.0 trước 9.7.0, đã được khắc phục trong các phiên bản 8.11.4 và 9.7.0.