Kubernetes Image Builderで、攻撃者が仮想マシン (VM) へのルート アクセスを取得できる可能性がある 2 つのセキュリティ脆弱性 (CVE-2024-9486 および CVE-2024-9594) が発見されました。修正イメージがリリースされているのでv0.1.38 へ再構築かアップデートする事をお勧めします。
脆弱性の対象バージョン
Kubernetes Image Builder v0.1.37以前およびNutanix、OVA、QEMU、または Raw プロバイダーのいずれかでビルドされた VM イメージを実行しているクラスターは、潜在的に危険にさらされています。
脆弱性の対処法
修正イメージがリリースされているのでv0.1.38 へ再構築かアップデート
脆弱性 CVE-2024-9486の概要
Kubernetes Image Builder で、イメージ構築プロセス中にデフォルトの認証情報が有効になるというセキュリティ上の問題で、CVSS 9.8と危険度の高い脆弱性です。
Proxmox プロバイダーを使用して構築された仮想マシン イメージでは、これらのデフォルトの認証情報が無効にならず、作成されたイメージを使用するノードは、これらのデフォルトの認証情報を使用してアクセスできる可能性があります。
認証情報を使用すると、ルート アクセスを取得できます。Kubernetes クラスターは、ノードが Image Builder プロジェクトとその Proxmox プロバイダーを介して作成された VM イメージを使用する場合にのみ影響を受けます。
脆弱性 CVE-2024-9594の概要
Nutanix、OVA、QEMU、または raw プロバイダーを使用する場合、イメージ ビルド プロセス中にデフォルトの認証情報が有効になる脆弱性でCVSS 6.3となります。
認証情報を使用すると、ルート アクセスを取得できます。認証情報は、イメージ ビルド プロセスの終了時に無効になります。Kubernetes クラスターは、ノードが Image Builder プロジェクト経由で作成された VM イメージを使用する場合にのみ影響を受けます。
参照
CVE-2024-9486: VM images built with Image Builder and Proxmox provider use default credentials
関連記事
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス
Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能に
PHPで複数の脆弱性が修正 対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925)
古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)
WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593)
VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)