Vulnerabilidades de Kubernetes arriesgan clústeres Windows
Vulnerabilidades de Kubernetes arriesgan clústeres Windows. Kubernetes y las tecnologías de contenedores se han convertido en herramientas esenciales para el despliegue de aplicaciones modernas, lo que las ha convertido en un foco central de la investigación en seguridad. Los investigadores del Grupo de Inteligencia de Seguridad de Akamai descubrieron inicialmente CVE-2023-3676, una vulnerabilidad que permite a los atacantes tomar el control de un clúster Kubernetes aplicando un archivo YAML malicioso.
Este descubrimiento llevó a la identificación de otros fallos en el código fuente de Kubernetes, todos ellos capaces de comprometer por completo el control del clúster. Entre estos fallos se encontró un problema crítico en el proyecto git-sync sidecar, que se presentó en DEF CON 32. Los investigadores tambien identificaron otra vulnerabilidad importante: un fallo de inyección de comandos en la función beta de Kubernetes “Log Query”, que forma parte de su marco de registro más amplio.
Akamai descubrió recientemente CVE-2024-9042, una vulnerabilidad que permite la ejecución remota de código (RCE) con permisos de SISTEMA en puntos finales de Windows dentro de un clúster Kubernetes cuando la función “Log Query” está habilitada. Esta vulnerabilidad puede ser explotada a través de una simple petición GET, otorgando potencialmente a los atacantes el control total sobre todos los nodos Windows en el cluster.
La función “Log Query” permite a los usuarios comprobar el estado de máquinas remotas mediante comandos sencillos. Sin embargo, los investigadores descubrieron que, si bien algunas entradas se validan, otras, como el parámetro “Pattern”, no se comprueban adecuadamente. Este descuido permite a los atacantes inyectar comandos maliciosos en el sistema, pudiendo tomar el control de los nodos Windows del clúster. La explotación de esta vulnerabilidad requiere condiciones específicas, como el uso de servicios que registren directamente en Event Tracing for Windows (ETW) de Windows en lugar del marco de registro predeterminado de Kubernetes.
Afortunadamente, esta vulnerabilidad solo afecta a los clústeres con nodos Windows y funciones beta activadas. Los administradores pueden verificar su entorno y comprobar si hay nodos Windows, además de asegurarse de que la función “Log Query” esté desactivada si no es necesaria. Incluso si no hay nodos Windows, es esencial mantener los sistemas Kubernetes actualizados para evitar otras vulnerabilidades. Las estrategias de mitigación, como RBAC, pueden reducir aún más los riesgos al restringir el acceso y supervisar el comportamiento inusual de los usuarios.
Para evitar estas vulnerabilidades, las organizaciones deben dar prioridad a la aplicación de parches en sus clústeres Kubernetes, especialmente en aquellos con nodos Windows. Implementar un control de acceso basado en roles (RBAC) también es crucial; ayuda a restringir el acceso a funciones sensibles como Log Query y permite una mejor supervisión de la actividad de los usuarios. Se recomienda a los administradores que revisen periódicamente sus configuraciones y se aseguren de desactivar las funciones innecesarias.