Cảnh báo lỗ hổng nghiêm trọng Kubernetes Image Builder CVE-2024-9486 và CVE-2024-9594

Kubernetes Security Response Committee đã công bố hai lỗ hổng nghiêm trọng trong Kubernetes Image Builder, CVE-2024-9486 và CVE-2024-9594, cả hai đều liên quan đến việc sử dụng thông tin đăng nhập mặc định trong quá trình xây dựng hình ảnh (image build).

Các lỗ hổng này cho phép kẻ tấn công chiếm quyền root trên các máy ảo và thực thi các cuộc tấn công nguy hiểm nếu không được khắc phục kịp thời.

Tổng quan về lỗ hổng

CVE-2024-948 (CVSS 9.8): Lỗ hổng này ảnh hưởng nghiêm trọng đến các máy ảo được xây dựng bằng Proxmox provider. Quá trình xây dựng VM tạo ra tài khoản người dùng với thông tin đăng nhập mặc định nhưng không vô hiệu hóa sau khi quá trình hoàn tất. Điều này cho phép kẻ tấn công có thể truy cập vào các VM với quyền root mà không cần bất kỳ chứng thực nào.

CVE-2024-9594 (CVSS 6.3): Ảnh hưởng đến các providers Nutanix, OVA, QEMU, và raw. Mặc dù thông tin đăng nhập mặc định bị vô hiệu hóa sau khi quá trình xây dựng hoàn tất, vẫn tồn tại một khoảng thời gian "nhạy cảm" trong suốt quá trình tạo hình ảnh, nơi kẻ tấn công có thể can thiệp và sửa đổi hoặc thêm mã độc vào hình ảnh trước khi được hoàn thiện.

Chi tiết kỹ thuật

CVE-2024-9486 (Proxmox provider):

Lỗ hổng này xuất phát từ việc Kubernetes Image Builder sử dụng tài khoản builder với thông tin đăng nhập mặc định để thực hiện quá trình xây dựng hình ảnh trên Proxmox provider. Sau khi hoàn tất, thông tin đăng nhập này không được vô hiệu hóa hoặc xóa, dẫn đến việc tài khoản builder vẫn có quyền root trên các VM được tạo ra.

  • Khai thác:

Kẻ tấn công chỉ cần biết hoặc tìm ra thông tin đăng nhập mặc định của tài khoản builder để chiếm quyền root của các máy ảo. Thông tin này có thể dễ dàng tìm thấy trong các tài liệu hoặc mã nguồn của Kubernetes Image Builder nếu chưa được bảo vệ đúng cách. Sau khi có quyền root, kẻ tấn công có thể cài đặt mã độc, chiếm quyền điều khiển hoàn toàn hệ thống, thực hiện các hành vi phá hoại, đánh cắp dữ liệu hoặc sử dụng VM cho mục đích tấn công các hệ thống khác.

  • Điều kiện khai thác:

Lỗ hổng này không yêu cầu tương tác từ người dùng. Kẻ tấn công chỉ cần truy cập vào máy ảo đang chạy image được tạo ra với Proxmox provider, và sau đó sử dụng thông tin đăng nhập mặc định để giành quyền root.

CVE-2024-9594 (Nutanix, OVA, QEMU, raw providers):

Lỗ hổng này xuất hiện trong các hình ảnh được xây dựng bằng Nutanix, OVA, QEMU, và raw providers. Mặc dù tài khoản builder được vô hiệu hóa sau khi quá trình xây dựng hoàn tất, nhưng trong suốt giai đoạn xây dựng, tài khoản này vẫn có quyền truy cập với thông tin đăng nhập mặc định. Kẻ tấn công có thể lợi dụng khoảng thời gian này để xâm nhập vào quá trình tạo image.

  • Khai thác: Kẻ tấn công phải có khả năng xâm nhập vào hệ thống trong khi VM image đang được xây dựng. Nếu kẻ tấn công có thể tiếp cận và truy cập vào quá trình tạo hình ảnh, tin tặc có thể thay đổi nội dung của hình ảnh, thêm mã độc hoặc các cấu hình gây hại mà không bị phát hiện. Sau khi hình ảnh được triển khai, các thay đổi này sẽ đi kèm với hệ thống VM, dẫn đến nguy cơ bị tấn công từ bên trong.

  • Điều kiện khai thác: Việc khai thác yêu cầu kẻ tấn công có quyền truy cập vào môi trường mạng nơi quá trình tạo hình ảnh đang diễn ra. Một kẻ tấn công từ bên trong hoặc một bên tấn công đã xâm nhập vào hệ thống có thể thực hiện việc này.

Phiên bản ảnh hưởng

Các phiên bản Kubernetes Image Builder từ v0.1.37 trở về trước có nguy cơ bị ảnh hưởng bởi hai lỗ hổng này.

  • CVE-2024-9486: Ảnh hưởng đến các hệ thống sử dụng Proxmox provider.
  • CVE-2024-9594: Ảnh hưởng đến Nutanix, OVA, QEMU, và raw providers.

Khuyến nghị

  • Cập nhật Kubernetes Image Builder: Người dùng cần nâng cấp ngay lên phiên bản v0.1.38 hoặc các phiên bản cao hơn, nơi các lỗ hổng này đã được khắc phục.
  • Xóa tài khoản builder trên các VMs bị ảnh hưởng: Đối với lỗ hổng CVE-2024-9486, trước khi nâng cấp, người dùng nên vô hiệu hóa hoặc xóa tài khoản builder trên các VM bị ảnh hưởng bằng lệnh usermod -L builder để ngăn chặn kẻ tấn công sử dụng thông tin đăng nhập mặc định.
  • Tăng cường bảo mật trong quá trình xây dựng: Đối với CVE-2024-9594, cần đảm bảo môi trường xây dựng image được bảo vệ chặt chẽ để ngăn chặn các cuộc tấn công xâm nhập trong quá trình xây dựng. Quản trị viên nên giới hạn quyền truy cập vào quá trình tạo hình ảnh và sử dụng các cơ chế bảo mật mạnh mẽ hơn để bảo vệ quá trình này.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: