关于Kubernetes Image Builder默认凭证漏洞(CVE-2024-9486)的安全预警
一、 基本情况
Kubernetes是一个跨主机集群的开源容器调度平台,旨在自动化部署、扩展和管理容器化的应用程序。Kubernetes Image Builder 是一款用于跨多个基础设施提供商构建 Kubernetes 虚拟机(VM)镜像的工具,它支持多种提供者,如Proxmox Provider、Nutanix、OVA和QEMU等,以实现灵活的镜像构建和管理,使得用户能够在不同环境中部署和管理虚拟机镜像。
二、 漏洞描述
Kubernetes发布安全公告,披露Kubernetes Image Builder v0.1.37 及之前的版本中通过 Proxmox Provider 构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。
三、 影响范围
Kubernetes Image Builder <= v0.1.37
四、 修复建议
目前该漏洞已经修复,受影响用户可使用Kubernetes Image Builder >= v0.1.38重建受影响的VM镜像,这些版本在构建过程中设置随机生成的密码,并在构建完成后禁用默认的builder帐户。
下载链接:
https://github.com/kubernetes-sigs/image-builder/releases/tag/v0.1.38
注:只有当Kubernetes 集群的节点使用通过Image Builder项目及其Proxmox provider创建的VM镜像时,Kubernetes集群才会受到该漏洞影响。
五、 参考链接
https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119/1
https://github.com/kubernetes/kubernetes/issues/128006
https://nvd.nist.gov/vuln/detail/CVE-2024-9486