研究者たちは、特定の状況下で悪意のある攻撃者がリモートコード実行を行い、システム権限でWindowsノードを乗っ取ることを可能にするKubernetesの高重大度の脆弱性について詳細を公開した。この脆弱性は、攻撃者がクラスターに悪意のあるYAMLファイルを適用することで利用可能である。CVE-2023-5528として追跡され、CVSSスコアは7.2である。この問題はkubeletのすべてのバージョンに影響を及ぼし、バージョン1.8.0以降で確認されている。この脆弱性は、2023年11月14日にリリースされたアップデートの一環として修正された。修正されたバージョンにはkubelet v1.28.4、kubelet v1.27.8、kubelet v1.26.11、kubelet v1.25.16が含まれる。Kubernetesの保守者によると、「Windowsノード上でポッドと永続ボリュームを作成できるユーザーが、それらのノード上で管理者権限に昇格できる可能性がある」とのことである。Kubernetesクラスターは、Windowsノード用のインツリーストレージプラグインを使用している場合にのみ影響を受ける。
この脆弱性の成功した悪用により、クラスター内のすべてのWindowsノードの完全な乗っ取りが可能になる。この問題は、「不安全な関数呼び出しとユーザー入力の無害化の欠如」に起因し、特にローカルボリュームと呼ばれるボリュームタイプを利用するKubernetesボリュームの機能に関連している。攻撃者は、YAMLファイル内の特別に作成されたパスパラメーターを持つPersistentVolumeを作成することで、コマンドインジェクションと実行をトリガーすることができる。「&&」コマンドセパレーターを使用して実行する。
この問題に対処するため、Kubernetesチームはcmd呼び出しを削除し、同じ操作を実行するネイティブGO関数「os.Symlink()」に置き換えることを選択した。この修正が施された。また、終了期限が切れたZhejiang Uniview ISCカメラモデル2500-S(CVE-2024-0778、CVSSスコア:9.8)に発見された重大なセキュリティ脆弱性が、NetKillerと呼ばれるMiraiボットネットの変種をドロップするために脅威アクターによって悪用されていることが明らかにされた。このボットネットは、Condiという別のボットネットとインフラストラクチャの重複がある。Condiボットネットのソースコードは、2023年8月17日から10月12日の間にGithub上で公開された。
【ニュース解説】
最近、Kubernetesというコンテナオーケストレーションシステムにおいて、特定の条件下で悪意のある攻撃者がWindowsノードを乗っ取ることを可能にする高重大度の脆弱性が公開されました。この脆弱性は、攻撃者がクラスターに悪意のあるYAMLファイルを適用することで、リモートコード実行を行い、システム権限でWindowsノードを制御できるようになるというものです。CVE-2023-5528として追跡され、CVSSスコアは7.2と評価されています。この問題は、2023年11月14日にリリースされたアップデートによって修正されました。
この脆弱性の根本原因は、「不安全な関数呼び出しとユーザー入力の無害化の欠如」にあり、Kubernetesのボリューム機能、特にローカルボリュームを利用する際に発生します。攻撃者は、特別に作成されたパスパラメーターを持つPersistentVolumeを作成し、コマンドインジェクションと実行をトリガーすることが可能です。この問題に対処するため、Kubernetesチームはcmd呼び出しを削除し、同じ操作を実行するネイティブGO関数「os.Symlink()」に置き換える修正を行いました。
この脆弱性の発見と修正は、コンテナ化されたアプリケーションのセキュリティにとって重要な意味を持ちます。Kubernetesは、コンテナのデプロイ、スケーリング、管理を自動化するために広く使用されているため、このような脆弱性は攻撃者による大規模な悪用のリスクを高めます。特に、Windowsノードを使用するクラスターにおいては、管理者権限の乗っ取りが可能になるため、企業のインフラストラクチャに対する重大な脅威となり得ます。
この脆弱性の修正により、Kubernetesクラスターのセキュリティが強化され、悪意のある攻撃からWindowsノードを守ることができるようになります。しかし、この事件は、コンテナオーケストレーションシステムのセキュリティがいかに重要であるか、そして常に最新のセキュリティパッチを適用することの重要性を改めて示しています。また、組織は、セキュリティのベストプラクティスを遵守し、定期的な脆弱性評価を行うことで、将来的なセキュリティリスクを最小限に抑えることができます。
さらに、この脆弱性の公開は、セキュリティコミュニティにおけるオープンソースソフトウェアの脆弱性管理と情報共有の重要性を強調しています。脆弱性の迅速な特定と修正、そしてその情報の広範な共有は、サイバーセキュリティの強化に不可欠です。このような取り組みにより、攻撃者による悪用の機会を減らし、デジタル社会の安全を守ることができます。
from Researchers Detail Kubernetes Vulnerability That Enables Windows Node Takeover.
“Kubernetes脆弱性がWindowsノード乗っ取りを可能に、緊急修正実施” への1件のコメント
このニュースを読んで、正直言って少し驚きました。私たちの日常生活は、IT技術によってより便利で豊かになっていますが、その裏でこういった脆弱性が潜んでいるとは…。特に、Kubernetesのように広く使われているシステムでの問題は、多くの人に影響を及ぼす可能性があると思います。私はITについての専門知識はあまりないですが、この問題が修正されたことで、もう少し安心できると思います。
でも、このような問題が発生するたびに、セキュリティの重要性を再認識させられますね。私たち一般ユーザーも、自分の使っているデバイスやアプリのセキュリティアップデートは常にチェックしておくべきだと思います。InstagramやTikTokなど、私が日常的に使っているアプリも、セキュリティ面で安全なのか気になります。
また、この事件は、セキュリティコミュニティがどれだけ重要な役割を果たしているかを示していますね。彼らが迅速に問題を特定し、情報を共有してくれるおかげで、私たちのデジタル環境が守られています。このような背景を知ることができて、少しはITとセキュリティの大切さを理解できた気がします。将来的には、もう少し技術的な知識も身につけて、自分自身のデジタル環