Vulnerabilidad Crítica en Kubernetes image builder
Una nueva vulnerabilidad se descubrió el pasado 14 de octubre de 2024 en la plataforma de código abierto Kubernetes. Esta plataforma ayuda a automatizar el despliegue, el ajuste de la escala y la gestión de aplicaciones en contenedores (virtualización), facilitando la creación y administración de máquinas virtuales.
La vulnerabilidad fue publicada en un aviso de seguridad de la propia plataforma y se identificó con el código CVE-2024-9486, con una puntuación CVSS de 9.8, lo que la convierte en una vulnerabilidad crítica. Esta CVE se debe al uso de credenciales por defecto durante el proceso de construcción de la imagen (sistema operativo), ya que son las mismas para todos los sistemas creados de esta forma. Esto permite a un atacante aprovechar la situación y conectarse vía SSH para obtener acceso con privilegios de root a las máquinas virtuales. [1] [2]
Esta vulnerabilidad afecta a máquinas virtuales construidas con Proxmox utilizando el constructor de imágenes en la versión 0.1.37 o anterior. Una solución sería reconstruir todas las máquinas virtuales que usaron la configuración por defecto, generando contraseñas aleatorias o desactivando las credenciales con el comando “usermod -L builder”. [1] [2]
Aunque la siguiente versión de Kubernetes (0.1.38) presenta un problema similar, este es de carácter medio, ya que solo es posible que el atacante explote la vulnerabilidad si la creación de la máquina está en proceso. Esto solo ocurre con Nutanix, OVA y QEMU. Es recomendable actualizar lo antes posible a la versión 0.1.38 para mitigar esta vulnerabilidad, ya que esta versión cuenta con generación de contraseñas aleatorias al crear una imagen de sistema operativo (ISO). [1] [2] [3]
Recomendaciones
-
Actualizar la versión de Kubernetes a la 0.1.38 y redesplegar las imágenes del sistema operativo de las máquinas virtuales afectadas.
-
En caso de no poder actualizar la versión, reconstruir todas las maquinas virtuales usando la generación de contraseñas aleatorias.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
TOULAS, B. (2024. octubre 16) Critical Kubernetes Image Builder flaw gives SSH root access to VMs. Recuperado el 21 de octubre del 2024 en: https://www.bleepingcomputer.com/news/security/critical-kubernetes-image-builder-flaw-gives-ssh-root-access-to-vms/
-
Fadilpašić, S. (2024, octubre 18) Critical Kubernetes Image Builder credential vulnerability allows for virtual machine SSH access. Recuperado el 21 de octubre del 2024 en: https://www.msn.com/en-gb/money/technology/critical-kubernetes-image-builder-credential-vulnerability-allows-for-virtual-machine-ssh-access/ar-AA1swdVz?ocid=BingNewsSerp
-
Lakshmanan, R. (2024, octubre 17) Critical Kubernetes Image Builder Vulnerability Exposes Nodes to Root Access Risk. Recuperado el 21 de octubre del 2024 en: https://thehackernews.com/2024/10/critical-kubernetes-image-builder.html
-
Kubernetes (2024, Junio 14) Phishing Incident Report: Facts and Timeline. Recuperado el 10 de octubre del 2024 en: https://any.run/cybersecurity-blog/phishing-incident-report/#how-we-discovered-the-incident-8068
-
