Ces failles dans Kubernetes permettent l’exécution de code à distance sur les nœuds Windows

Des failles de sécurité importantes ont été découvertes et corrigées dans Kubernetes ! Grâce à elles, un attaquant pourrait exécuter du code à distance sur les machines Windows ! Faisons le point sur cette alerte.

Tous les environnements Kubernetes avec des nœuds Windows sont potentiellement impactés par les trois failles de sécurité suivantes : CVE-2023-3676, CVE-2023-3893, et CVE-2023-3955. Il s'agit de vulnérabilités importantes associées à un score CVSS de 8.8 sur 10.

D'après Tomer Peled, un chercheur en sécurité de chez Akamai qui a écrit un article technique au sujet de ces vulnérabilités, un attaquant pourrait exécuter des commandes à distance avec les privilèges SYSTEM : "La vulnérabilité permet l'exécution de code à distance avec les privilèges SYSTEM sur tous les terminaux Windows au sein d'un cluster Kubernetes." - De quoi inquiéter, forcément.

Pour exploiter cette vulnérabilité (CVE-2023-3676), l'attaquant doit pouvoir accéder au nœud Kubernetes et il doit disposer du privilège "apply". Ce privilège lui permet d'interagir avec l'API Kubernetes, ce qui est indispensable afin de pouvoir injecter du code arbitraire qui sera ensuite exécuté sur les nœuds Windows avec le plus haut niveau de privilèges. À ce sujet, Tomer Peled précise : "Pour exploiter cette vulnérabilité, l'attaquant doit appliquer un fichier YAML malveillant sur le cluster."

Par ailleurs, la vulnérabilité CVE-2023-3955 est liée à un manque de contrôle des données envoyées en entrée, ce qui permet à la commande malveillante d'être passée en tant que paramètre d'une commande PowerShell, par exemple. La troisième vulnérabilité, associée à la référence CVE-2023-3893, affecte le composant Container Storage Interface (CSI) et permet à l'attaquant d'élever ses privilèges sur un nœud Kubernetes.

Quelles sont les versions affectées et comment se protéger ?

Les versions suivantes du composant kubelet sont affectées par ces vulnérabilités (comme précisé sur cette page) :

• kubelet < v1.28.1
• kubelet < v1.27.5
• kubelet < v1.26.8
• kubelet < v1.25.13
• kubelet < v1.24.17

De son côté, Tomer Peled indique ceci : "Toutes les versions de Kubernetes inférieures à la version 1.28 sont vulnérables à cette CVE."

Un correctif de sécurité est disponible depuis le 23 août 2023, ce dernier fait suite à la découverte de ces vulnérabilités par Akamai quelques semaines plus tôt (le 13 juillet 2023).

Source

Florian BURNEL Co-founder

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio