Kubernetes Image Builder默认凭证漏洞（CVE-2024-9486）

Kubernetes是一个跨主机集群的开源容器调度平台，旨在自动化部署、扩展和管理容器化的应用程序。Kubernetes Image Builder 是一款用于跨多个基础设施提供商构建Kubernetes 虚拟机（VM）镜像的工具，它支持多种提供者，如Proxmox Provider、Nutanix、OVA和QEMU等，以实现灵活的镜像构建和管理，使得用户能够在不同环境中部署和管理虚拟机镜像。

2024年10月17日，启明星辰集团VSRC监测到Kubernetes发布安全公告，披露Kubernetes Image Builder v0.1.37 及之前的版本中通过Proxmox Provider 构建的VM镜像中存在默认凭证漏洞（SSH账户builder/builder），由于这些默认凭证未在镜像构建完成后被修改或禁用，导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机，从而获得对目标节点的访问权限。

二、影响范围

Kubernetes Image Builder <= v0.1.37

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可使用Kubernetes Image Builder >= v0.1.38重建受影响的VM镜像，这些版本在构建过程中设置随机生成的密码，并在构建完成后禁用默认的builder帐户。

下载链接：

https://github.com/kubernetes-sigs/image-builder/releases/tag/v0.1.38

注：只有当Kubernetes 集群的节点使用通过Image Builder项目及其Proxmox provider创建的VM镜像时，Kubernetes集群才会受到该漏洞影响。

3.2 临时措施

如果无法立即修复，可通过以下方式（之一）缓解该漏洞：

1.移除builder账户。

sudo userdel builder

2. 禁用builder账户的SSH访问权限。

sudo usermod -L builder

3.更改builder账户的默认凭证。

sudo passwd builder

根据提示输入新的强密码。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119/1

https://github.com/kubernetes/kubernetes/issues/128006

https://nvd.nist.gov/vuln/detail/CVE-2024-9486

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Kubernetes Image Builder默认凭证漏洞（CVE-2024-9486）