警告：新的Kubernetes漏洞允许对Windows端点进行远程攻击

在Kubernetes中发现的三个相互关联的高严重性安全漏洞可以被利用来实现远程代码执行，并在集群内的Windows端点上提升权限。

这些问题被跟踪为CVE-2023-3676、CVE-2023-3893和CVE-2023-3955，CVSS评分为8.8，并影响所有具有Windows节点的Kubernetes环境。在Akamai于2023年7月13日负责任地披露之后，漏洞的修复程序于2023年8月23日发布。

“该漏洞允许在Kubernetes集群内的所有Windows端点上使用SYSTEM权限执行远程代码，”Akamai安全研究员Tomer Peled在与The Hacker News分享的技术文章中表示。要利用此漏洞，攻击者需要在群集上应用恶意YAML文件。“

Amazon Web Services（AWS）、Google Cloud和Microsoft Azure都发布了针对这些bug的建议，这些bug会影响以下版本的Kubelet -

kubelet < v1.28.1
kubelet < v1.27.5
kubelet < v1.26.8
kubelet <v1.25.13；及
kubelet < v1.24.17
简单地说，CVE-2023-3676允许具有“应用”权限的攻击者-这使得可以与Kubernetes API交互-注入将在具有SYSTEM权限的远程Windows机器上执行的任意代码。

“CVE-2023-3676需要较低的权限，因此为攻击者设置了较低的门槛：他们所需要的只是访问一个节点并应用特权，”Peled指出。

该漏洞沿着CVE-2023-3955是由于缺乏输入清理而导致的，从而使巧尽心思构建的路径字符串被解析为PowerShell命令的参数，从而有效地导致命令执行。

另一方面，CVE-2023-3893涉及容器存储接口（CSI）代理中的权限提升的情况，其允许恶意行为者获得节点上的管理员访问。

“这些漏洞中反复出现的一个主题是Kubelet的Windows特定移植中的输入清理失误，”Kubernetes安全平台ARMO上个月强调。

“具体来说，当处理Pod定义时，软件无法充分验证或清理用户输入。这种疏忽使恶意用户能够使用环境变量和主机路径创建pod，这些pod在处理时会导致不希望的行为，例如权限提升。“