Rancher Kubernetes Engine (RKE) 是一个广泛使用的Kubernetes发行版,可简化 Kubernetes 的安装和操作,现已发现一个严重漏洞。此漏洞编号为CVE-2023-32191,CVSS 评分最高为10,对 RKE 管理的 Kubernetes 集群的安全性和完整性构成严重风险。
RKE 以在裸机和虚拟化服务器上完全在 Docker 容器内运行 Kubernetes 而闻名,它在存储集群状态信息的方式上存在重大安全漏洞。出现full-cluster-state此漏洞的原因是 RKE 将敏感凭据存储在集群命名空间中调用的 ConfigMap 中kube-system。此 ConfigMap 包含各种敏感数据,例如:
-
SSH 凭证
-
AWS 访问和密钥
-
Azure AD 客户端机密
-
Kubernetes 加密密钥
-
云提供商凭证(例如 OpenStack、Vsphere、Harvester)
这些凭据存在于 ConfigMap 中意味着,任何对此 ConfigMap 具有读取权限的人实际上都获得了对整个 Kubernetes 集群的管理级控制权。这种级别的访问权限可能导致机密性、完整性和可用性严重受损,从而可能将组织的整个云基础架构暴露给恶意行为者。
ConfigMapfull-cluster-state包含 Kubernetes 集群的完整状态,包括集群操作所需的关键配置详细信息和凭据。虽然访问此 ConfigMap 通常需要 RKE 集群内的权限,但并非只有管理员才可以访问。能够读取此 ConfigMap 的非管理员用户可以利用它来获取对集群的未经授权的访问和控制。
为了缓解CVE-2023-32191漏洞,RKE 用户必须升级到修补版本:
-
RKE 1.4.19和1.5.10
-
Rancher 2.7.14 和 2.8.5
这些更新包括将集群状态从 ConfigMap 迁移到kube-system命名空间中更安全的机密的更改。只有具有适当权限的用户才能访问此机密,特别是 Rancher 中的管理员和集群所有者角色。
对于无法立即升级的用户,目前没有有效的解决方法。优先升级 RKE 以保护您的 Kubernetes 环境免受潜在攻击至关重要。
原文始发于微信公众号(独眼情报):CVE-2023-32191 (CVSS 10)Rancher Kubernetes Engine 漏洞导致敏感凭证泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论