Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024 | LỖ HỔNG ATTT

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

Lỗ hổng có mã định danh CVE-2023-5528 (điểm CVSS: 7.2), ảnh hưởng đến cài đặt Kubernetes mặc định, tồn tại ở cách hệ thống điều phối container nguồn mở xử lý các tệp YAML.

Ở một khía cạnh nào đó, lỗ hổng này tương tự với lỗ hổng CVE-2023-3676, đó là thiếu quá trình loại bỏ (sanitization) trong tham số subPath của tệp YAML, dẫn đến việc chèn mã khi tạo các Pod (đại diện cho một nhóm gồm một hoặc nhiều ứng dụng container, ví dụ như Docker hoặc rkt).

Lỗ hổng CVE-2023-3676 được xác định trong quá trình xử lý các tệp YAML của dịch vụ Kubelet trong Kubernetes chứa thông tin về cách gắn thư mục dùng chung, mặt khác lỗ hổng CVE-2023-5528 xảy ra khi tạo một Pod bao gồm ổ đĩa cục bộ, cho phép gắn các phân vùng đĩa.

Akamai cho biết một trong những chức năng mà dịch vụ Kubelet đạt được khi tạo một Pod như vậy sẽ tạo ra “liên kết tượng trưng (symlink) giữa vị trí của ổ đĩa trên nút và vị trí bên trong Pod” .

Vì hàm chứa lệnh gọi cmd, dấu nhắc lệnh của Windows hỗ trợ thực thi hai hoặc nhiều lệnh sau một mã thông báo đặc biệt, kẻ tấn công có thể kiểm soát một tham số trong quá trình thực thi cmd và chèn các lệnh tùy ý nhằm thực thi với các đặc quyền của Kubelet (đặc quyền hệ thống). Tuy nhiên, sự cố chỉ xảy ra khi chỉ định hoặc tạo một persistentVolume, một loại tài nguyên lưu trữ mà quản trị viên có thể tạo để cung cấp trước không gian lưu trữ và sẽ tồn tại sau vòng đời của Pod, đây là vị trí có thể chèn lệnh độc hại. Kẻ tấn công có thể thay đổi giá trị của tham số “local.path” bên trong tệp YAML persistentVolume để thêm một lệnh độc hại sẽ được thực thi trong quá trình cài đặt.

Để giải quyết vấn đề, Kubernetes đã xóa lệnh gọi cmd và thay thế nó bằng hàm Go gốc chỉ thực hiện thao tác liên kết tượng trưng. Tất cả các hoạt động triển khai Kubernetes phiên bản 1.28.3 trở về trước có nút Windows trong cụm đều dễ bị tấn công bởi CVE-2023-5528. Các tổ chức được khuyến khích nâng cấp lên Kubernetes phiên bản 1.28.4.

Akamai cho biết: “Vì vấn đề nằm trong mã nguồn nên mối đe dọa này sẽ vẫn còn hoạt động và việc khai thác nó có thể sẽ tăng lên, đây là lý do tại sao chúng tôi đặc biệt khuyến cáo người dùng nên vá cụm của họ ngay cả khi nó không có bất kỳ nút Windows nào”.

Ánh Trần

(Tổng hợp)

‹ › ×

Tin liên quan

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

Cảnh báo lỗ hổng thực thi mã từ xa trên Sophos Firewall

17:00 | 30/09/2022

Công ty phần mềm an ninh máy tính và bảo mật phần cứng Sophos (Anh) đã cảnh báo về lỗ hổng bảo mật nghiêm trọng trong sản phẩm Firewall của hãng đang bị khai thác trong thực tế.

Synology phát hành bản vá cho các lỗ hổng nghiêm trọng

09:00 | 03/04/2024

Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.

Tin cùng chuyên mục

Juniper Networks phát hành bản vá cho lỗ hổng nghiêm trọng

10:00 | 21/03/2025

Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.

Chuyên gia lo ngại về các cuộc tấn công mã độc tống tiền trong năm 2025

10:00 | 03/03/2025

Theo Christiaan Beek, Giám đốc phân tích nguy cơ cấp cao của hãng bảo mật Rapid7 (Hoa Kỳ), 2024 là năm của các cuộc tấn công liên tiếp. Báo cáo của hãng cho thấy, số lượng các vụ tấn công từ những băng nhóm mã độc tống tiền tăng mạnh vào năm ngoái với số tiền chuộc có thể lên tới 380 triệu USD. Trung bình tiền chuộc của mỗi vụ là 200.000 USD.

Bản cập nhật mới nhất của GitLab vá lỗ hổng XSS có mức độ nghiêm trọng cao

10:00 | 24/02/2025

GitLab đã ban hành một khuyến cáo bảo mật kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5.

Tổng quan về tấn công ReDoS: Mối đe dọa và giải pháp phòng ngừa

13:00 | 06/01/2025

Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.