Vulnerabilidade Crítica no Kubernetes Image Builder Permite Acesso Root em VMs Proxmox

Uma falha de segurança crítica foi revelada no Kubernetes Image Builder que, se explorada com sucesso, pode ser usada para obter acesso root em determinadas circunstâncias.

A vulnerabilidade, identificada como CVE-2024-9486 (pontuação CVSS: 9.8), foi corrigida na versão 0.1.38. Os mantenedores do projeto reconheceram Nicolai Rybnikar por descobrir e relatar a vulnerabilidade.

“Foi identificada uma falha de segurança no Kubernetes Image Builder, onde credenciais padrão são ativadas durante o processo de criação de imagens,” afirmou Joel Smith, da Red Hat, em um comunicado.

“Além disso, as imagens de máquinas virtuais geradas com o provedor Proxmox não desativam as credenciais padrão, permitindo que os nós que utilizam essas imagens sejam acessados por meio dessas credenciais, possibilitando obter acesso root”.

Dito isso, apenas clusters Kubernetes cujos nós utilizam imagens de máquinas virtuais criadas com o provedor Proxmox pelo projeto Image Builder são afetados pela falha.

Como medida temporária, recomenda-se desativar a conta de construtor nas VMs afetadas. Também é recomendável que os usuários reconstruam as imagens utilizando uma versão corrigida do Image Builder e as reimplantem nas VMs.

A correção implementada pela equipe do Kubernetes substitui as credenciais padrão por uma senha gerada aleatoriamente, que é usada durante o processo de criação da imagem. Além disso, a conta do construtor é desativada ao final do processo.

A versão 0.1.38 do Kubernetes Image Builder também aborda uma questão relacionada (CVE-2024-9594, pontuação CVSS: 6.3), referente a credenciais padrão quando imagens são criadas usando os provedores Nutanix, OVA, QEMU ou raw.

A gravidade menor do CVE-2024-9594 decorre do fato de que as VMs utilizando essas imagens só são afetadas “se um atacante tiver acesso à VM durante a criação da imagem e explorar a vulnerabilidade para modificar a imagem enquanto o processo ainda estava em andamento.”

Esse desenvolvimento coincide com o lançamento pela Microsoft de patches para três falhas críticas nos serviços Dataverse, Imagine Cup e Power Platform, que poderiam resultar em elevação de privilégios e vazamento de informações:

• CVE-2024-38139 (pontuação CVSS: 8.7) – Autenticação inadequada no Microsoft Dataverse permite que um atacante autorizado eleve privilégios por meio de uma rede.
• CVE-2024-38204 (pontuação CVSS: 7.5) – Controle de acesso inadequado no Imagine Cup permite a elevação de privilégios por parte de um atacante autorizado.
• CVE-2024-38190 (pontuação CVSS: 8.6) – Falta de autorização no Power Platform permite que um atacante não autenticado visualize informações sensíveis por meio de um ataque via rede.

Além disso, foi divulgada uma vulnerabilidade crítica no Apache Solr, um mecanismo de busca corporativo open-source (CVE-2024-45216, pontuação CVSS: 9.8), que pode permitir a bypass de autenticação em instâncias vulneráveis.

“Um caminho falso ao final de qualquer URL da API Solr permite que solicitações contornem a autenticação, mantendo o contrato da API com o caminho original,” afirma um aviso no GitHub sobre a falha. “Esse caminho falso parece uma rota de API desprotegida, mas ele é removido internamente após a autenticação, antes do roteamento da API.”

O problema, que afeta as versões do Solr desde a 5.3.0 até antes da 8.11.4, bem como da 9.0.0 até antes da 9.7.0, foi corrigido nas versões 8.11.4 e 9.7.0.