文/周峻佑 | 2024-10-17發表
Kubernetes資安回應團隊近期公布映像檔建置工具(Image Builder)漏洞CVE-2024-9486、CVE-2024-9594,攻擊者有可能藉此得到虛擬機器(VM)的root權限,而這些漏洞發生的原因,源於映像檔建置過程中,使用了預設的帳密資料。這些漏洞影響0.1.37版以前的Kubernetes Image Builder,開發團隊發布0.1.38版緩解上述弱點。
這兩項漏洞較為嚴重的是CVE-2024-9486,主要原因在於:以Proxmox提供者(provider)建置而成的虛擬機器映像,無法停用當中的預設帳號,若用這些映像檔建置節點,後續有心人士可透過這些預設帳密進行存取,藉此取得root權限,CVSS風險評分達到9.8。
另一個漏洞CVE-2024-9594,則是涉及其他系統平臺提供者產生的映像檔,這些提供者包含Nutanix、OVA、QEMU,在映像建置過程也會啟用預設的帳密組態,而此預設帳密同樣可用於取得root權限,但不同的是,在映像檔建置完成後,這些帳密就會被停用。該漏洞被評為中度風險,CVSS評為6.3。
針對上述情形,Kubernetes資安回應團隊除提供新版映像檔建置工具,並呼籲用戶應透過這些已解決上述問題的工具,重建具有潛在風險的映像檔。
線