在業界廣泛使用的容器管理應用程式 Kubernetes ,近來被披露有三個互相關聯的高嚴重性安全漏洞,可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為:CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,它們的 CVSS 評分為 8.8,影響所有帶有 Windows 端點的 Kubernetes 環境。
這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼,並進而獲得 SYSTEM 權限。具體來說,攻擊者需要將一個惡意的 YAML 文件於目標集群內執行,然後就可以在受害的 Windows 機器上執行任意代碼操作。
CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes,能夠讓攻擊者以低權限進行攻擊,只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易,大幅提升了組織受到攻擊的風險。另一方面,CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級,允許攻擊者獲得端點上的管理者訪問權限。
這些漏洞的共同性是在處理 Pod (Kubernetes的計算單元)時,對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod,從而實現特權升級和遠程代碼執行。
這組漏洞對企業的安全性構成了嚴重威脅,特別是那些大量使用 Windows 端點設備的企業。因此,企業應該盡快採取必要的措施,包括更新和修補 Kubernetes,以確保其系統免受潛在的攻擊風險。
竣盟科技針對此項漏洞的建議如下:
立即進行版本更新:確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。
限制訪問權限:限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制(RBAC)政策。
稽核與監控:密切關注您的日誌活動,標記和調查不尋常或未經授權的 pod 創建活動,特別是包含嵌入式 PowerShell 命令的項目,所有這些都是潛在攻擊的強烈徵兆。
Kubernetes是什麼?
Kubernetes是一個開源的容器管理平台,它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用,提供了一個可擴充、高度可用的平台,支持應用程式在不同的環境中運行,包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能,使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準,被廣泛用於現代雲原生應用的開發和運營。