Kubernetes의 심각한 취약성으로 인해 Kubernetes Image Builder 프로젝트로 생성된 이미지를 실행하는 가상 머신에 대한 무단 SSH 액세스가 허용될 수 있습니다.
Kubernetes는 애플리케이션을 실행할 수 있는 경량 환경인 가상 컨테이너의 배포, 확장 및 운영을 자동화하는 데 도움이 되는 오픈 소스 플랫폼입니다.
Kubernetes Image Builder를 사용하면 사용자는 Kubernetes 환경을 실행하는 Proxmox 또는 Nutanix와 같은 다양한 클러스터 API(CAPI) 공급자를 위한 가상 머신(VM) 이미지를 생성할 수 있습니다. 그런 다음 이러한 VM은 Kubernetes 클러스터의 일부가 되는 노드(서버)를 설정하는 데 사용됩니다.
Kubernetes 커뮤니티 포럼의 보안 권고에 따르면 심각한 취약점은 Image Builder 버전 0.1.37 이하에서 Proxmox 공급자를 사용하여 구축된 VM 이미지에 영향을 미칩니다.
이 문제는 현재 CVE-2024-9486으로 추적되며 이미지 구축 프로세스 중에 활성화되고 이후에는 비활성화되지 않는 기본 자격 증명 사용으로 구성됩니다.
이를 알고 있는 위협 행위자는 SSH 연결을 통해 연결하고 이러한 자격 증명을 사용하여 취약한 VM에 대한 루트 권한으로 액세스할 수 있습니다.
해결 방법은 Kubernetes Image Builder 버전 v0.1.38 이상을 사용하여 영향을 받는 VM 이미지를 다시 빌드하는 것입니다. 이 버전은 빌드 프로세스 중에 무작위로 생성된 비밀번호를 설정하고 프로세스가 완료된 후 기본 “빌더” 계정도 비활성화합니다.
현재 업그레이드가 불가능한 경우 임시 해결책은 다음 명령을 사용하여 빌더 계정을 비활성화하는 것입니다.
usermod -L builder
완화에 대한 자세한 내용과 시스템이 영향을 받는지 확인하는 방법은 이 GitHub 페이지에서 확인할 수 있습니다.
또한 이 공지는 Nutanix, OVA, QEMU 또는 원시 공급자를 사용하여 구축한 이미지에도 동일한 문제가 존재하지만 성공적인 악용을 위한 추가 요구 사항으로 인해 심각도가 중간 수준이라고 경고합니다. 현재 취약점은 CVE-2024-9594로 식별됩니다.
특히 이 결함은 빌드 프로세스 중에만 악용될 수 있으며 공격자가 이미지 생성 VM에 대한 액세스 권한을 얻고 기본 자격 증명이 지속되도록 작업을 수행하여 향후 VM에 대한 액세스를 허용해야 합니다.
CVE-2024-9594에도 동일한 수정 및 완화 권장 사항이 적용됩니다.