Una vulnerabilidad grave en Kubernetes permite el acceso SSH no autorizado a máquinas virtuales que ejecutan imágenes creadas con Kubernetes Image Builder.

El proyecto Kubernetes Image Builder permite a los usuarios crear imágenes de máquinas virtuales (VM) para varios proveedores de CAPI, como Proxmox y Nutanix, que ejecutan Kubernetes. Estas VM se emplean para configurar nodos o servidores.

Según un aviso en los foros de la comunidad de Kubernetes, esta vulnerabilidad afecta a las imágenes de VM generadas con el proveedor Proxmox en Image Builder versión 0.1.37 o anteriores. La falla CVE-2024-9486, surge debido al uso de credenciales predeterminadas que permanecen habilitadas tras la creación de las imágenes. Un atacante podría aprovechar una conexión SSH para acceder con privilegios a estas VM vulnerables.

Para resolver este problema, es necesario reconstruir las imágenes afectadas con la versión v0.1.38 (o posterior) de Kubernetes Image Builder, que introduce una contraseña aleatoria durante la creación de la imagen y desactiva la cuenta predeterminada “builder” tras la finalización del proceso.

Si una actualización inmediata no es viable, se puede aplicar una solución temporal inhabilitando la cuenta “builder” con el comando: «bashCopy codeusermod -L builder"

También se advierte sobre una vulnerabilidad (CVE-2024-9594) similar en imágenes creadas con Nutanix, OVA, QEMU o RAW, clasificada con gravedad media debido a requisitos específicos para que sea explotable. Esta último solo podría darse durante la creación de la imagen, requiriendo que el atacante acceda a la VM de compilación y mantenga activas las credenciales predeterminadas.

Fuente:

Critical Kubernetes Image Builder flaw gives SSH root access to VMs

CVE-2024-9486 and CVE-2024-9594: VM images built with Kubernetes