Uma vulnerabilidade crítica no Kubernetes Image Builder, identificada como CVE-2024-9486, apresenta um risco significativo, pois permite que atacantes adquiram acesso root em determinadas condições. O problema, que possui uma pontuação CVSS de 9,8, afeta exclusivamente os clusters Kubernetes cujos nós utilizam imagens de VM do projeto Image Builder e seu provedor Proxmox.
O que é a vulnerabilidade no kubernetes image builder?
O advisory informa que “um problema de segurança foi detectado no Kubernetes Image Builder, onde as credenciais padrão permanecem ativas durante o processo de criação da imagem. Além disso, as imagens de máquina virtual construídas através do provedor Proxmox não desabilitam essas credenciais padrão, tornando os nós que utilizam essas imagens acessíveis através delas.” Essas credenciais comprometidas podem ser exploradas para obter acesso root. Assim, os clusters Kubernetes só estão em risco se seus nós utilizarem imagens de VM criadas pelo projeto Image Builder com o provedor Proxmox.
Como mitigar a vulnerabilidade no kubernetes?
A vulnerabilidade foi descoberta por Nicolai Rybnikar, pesquisador em cibersegurança da Rybnikar Enterprises GmbH.
A falha foi corrigida na versão 0.1.38, que agora implementa uma senha gerada aleatoriamente durante o processo de criação da imagem e desabilita a conta do construtor após a finalização desse processo.
Para mitigar o problema, é recomendado reconstruir as imagens com a versão corrigida do Image Builder e redistribuí-las. Como alternativa, pode-se desabilitar a conta ‘builder’ nos VMs afetadas usando o comando usermod -L builder.
Além disso, a versão v0.1.38 do Kubernetes Image Builder também abordou um problema relacionado a credenciais padrão, identificado como CVE-2024-9594, com uma pontuação CVSS de 6,3. Este problema ocorre quando as credenciais padrão estão ativadas durante o processo de criação da imagem usando provedores como Nutanix, OVA, QEMU ou raw. Embora essas credenciais sejam desativadas após a finalização da construção da imagem, os clusters Kubernetes estão vulneráveis apenas se seus nós utilizarem imagens de VM criadas por este projeto.