La vulnerabilidad está vinculada al mecanismo de consulta de registros que permite a los usuarios solicitar datos de estado del sistema de máquinas remotas a través de clústeres de Kubernetes mediante una simple solicitud GET a un nodo remoto. La explotación de esta falla podría dar como resultado la toma de control total de todos los nodos de Windows en un clúster.
Esta vulnerabilidad permite la ejecución remota de código (RCE) con privilegios de SISTEMA en todos los puntos finales de Windows dentro de un clúster de Kubernetes. Para explotar esta vulnerabilidad, el clúster debe estar configurado para ejecutar el nuevo mecanismo de registro ‘Log Query’.
Nuestros investigadores señalan que las instalaciones predeterminadas de Kubernetes, que han optado por utilizar funciones beta anteriores a la versión 1.32.1, son susceptibles a esta vulnerabilidad. Se han evaluado tanto las implementaciones locales como los entornos de Azure Kubernetes Service en los que se puede activar esta falla.
Una vez que la falla se explota con éxito, representa un riesgo de seguridad significativo debido a su potencial para controlar completamente todos los nodos de Windows en un clúster de Kubernetes.
Existe un comando de explotación de prueba de concepto que utiliza la herramienta «curl» y propone varias estrategias de mitigación para evitar una explotación exitosa. Las mitigaciones clave incluyen el uso del control de acceso basado en roles (RBAC) para controlar el acceso a la consulta de registros y las actualizaciones del sistema a la última versión de Kubernetes para rectificar la vulnerabilidad identificada.
El descubrimiento de esta vulnerabilidad surge a raíz de una investigación sobre el marco de registro de Kubernetes realizada por nuestros expertos, que previamente habían identificado vulnerabilidades de inyección de comandos a través de archivos YAML maliciosos en entornos de Kubernetes.
La función de consulta de registros permite a los usuarios solicitar información sobre el estado de los servicios en máquinas remotas. Se identificó una ausencia de validación de entrada adecuada en los parámetros del servicio en la investigación reciente, lo que afecta la confiabilidad de seguridad del marco al administrar nodos de Windows.
A través de una investigación exhaustiva, nuestros investigadores han descubierto que los nombres de los servicios se validan utilizando una expresión regular predefinida, lo que implica que la validación de entrada se limita a los nombres de los servicios, omitiendo otros parámetros potencialmente vulnerables, como el parámetro «Patrón».
El problema se complicó aún más porque los intentos de activar comandos de PowerShell en sistemas remotos requerían aprovechar las funciones de salida de registro vinculadas a Event Tracing for Windows (ETW) en lugar del marco de registro estándar proporcionado por Kubernetes. Un método notable que se analizó es el que se realiza a través de un entorno de Kubernetes que utiliza Calico, que puede explotar la vulnerabilidad a través de Non-Sucking Service Manager (NSSM).
Esta vulnerabilidad afecta principalmente a los entornos Kubernetes que mantienen nodos de Windows. Sin embargo, es muy importante mantener los parches actualizados incluso en sistemas que utilizan predominantemente otras configuraciones para evitar amenazas desconocidas.
La conclusión hace hincapié en la vigilancia y la respuesta constantes de los equipos de seguridad para reconocer y responder rápidamente a actividades inusuales que podrían indicar intentos de explotación a esta escala. La investigación y los informes continuos del equipo tienen como objetivo reforzar la postura de seguridad de los usuarios de Kubernetes contra posibles ataques de naturaleza similar.
Como siempre, nuestros administradores de seguridad siguen teniendo como objetivo principal mitigar los riesgos asociados con las amenazas en evolución en los clústeres de Kubernetes, conocer estos desafíos de seguridad y abordarlos de manera proactiva.
