Alertas

Vulnerabilidades en Kubernetes

29 Aug 2023

INTRODUCCIÓN

El Comité de Respuesta de Seguridad de Kubernetes ha revelado tres vulnerabilidades que afectan a las versiones de Kubelet para Windows y al proxy CSI de Kubernetes. Estas vulnerabilidades permiten a los usuarios con permisos limitados escalar sus privilegios a nivel de administrador en los nodos afectados.

ANÁLISIS

CVE-2023-3893 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Se ha encontrado una vulnerabilidad en Kubernetes. Este fallo permite a un usuario que pueda crear pods en nodos Windows que ejecuten kubernetes-csi-proxy escalar a privilegios de administrador en dichos nodos.

Los clústeres Kubernetes sólo se ven afectados si incluyen nodos Windows que ejecuten kubernetes-csi-proxy. Cualquier entorno Kubernetes con nodos Windows que ejecuten kubernetes-csi-proxy se verá afectado. Esta es una configuración predeterminada común en los nodos de Windows.

CVE-2023-3676 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Se ha encontrado una vulnerabilidad en Kubernetes. Este fallo permite a un usuario que puede crear pods en nodos Windows escalar a privilegios de administrador en esos nodos.

Los clusters Kubernetes sólo se ven afectados si incluyen nodos Windows. Cualquier entorno Kubernetes con nodos Windows está afectado.

CVE-2023-3955 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Se ha encontrado una vulnerabilidad en Kubernetes. Este fallo permite a un usuario que puede crear pods en nodos Windows escalar a privilegios de administrador en esos nodos.

Los clusters Kubernetes sólo se ven afectados si incluyen nodos Windows. Cualquier entorno Kubernetes con nodos Windows está afectado.

VERSIONES AFECTADAS

Las versiones de Kubelet afectadas para CVE-2023-3676 & CVE-2023-3955 son:

kubelet <= v1.28.0
kubelet <= v1.27.4
kubelet <= v1.26.7
kubelet <= v1.25.12

kubelet <= v1.24.16

Y para CVE-2023-3893 son:

kubernetes-csi-proxy <= v2.0.0-alpha.0
kubernetes-csi-proxy <= v1.1.2

RECOMENDACIONES

Actualice a la última versión según las instrucciones del proveedor.

REFERENCIAS

https://github.com/kubernetes/kubernetes/issues/119595
https://github.com/kubernetes/kubernetes/issues/119594
https://github.com/kubernetes/kubernetes/issues/119339

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.