2min Security

Kubernetes-kwetsbaarheid bedreigt Windows-endpoints

Kubernetes-kwetsbaarheid bedreigt Windows-endpoints

Een nieuwe kwetsbaarheid maakt remote code execution (RCE) met systeemprivileges mogelijk op alle Windows-endpoints in een Kubernetes-cluster.

Dat ontdekte Akamai-onderzoeker Tomer Peled. De kritieke kwetsbaarheid in de Log Query-functie van Kubernetes, aangeduid als CVE-2024-9042, kan gemakkelijk worden uitgebuit. Een simpel GET-verzoek naar de remote node is voldoende om de aanval in gang te zetten. Bij een GET-request wordt een HTTP-verzoek gebruikt om data op te halen van een server. Deze methode wordt veel toegepast binnen het HTTP-protocol.

Normaliter wordt de Log Query-functie gebruikt voor het opvragen van informatie van remote machines om de status van deze machines te achterhalen. Wanneer een aanvaller succesvol het verzoek indient, kunnen alle Windows-nodes binnen het Kubernetes-cluster worden overgenomen.

De Akamai-onderzoeker probeerde verschillende methoden voor command injection, waarna het probleem niet zozeer in de payload (zoals gebruikelijk) bleek te zitten. De onderzoeker moest een service specificeren die de status logt naar Event Tracing for Windows (ETW) en niet naar het reguliere klog-framework. Dit omdat er een kwetsbare controle aanwezig is bij het loggen naar ETW.

Urgente patching noodzakelijk

De nieuwe kwetsbaarheid treft standaardinstallaties van Kubernetes die gebruikmaken van bètafuncties, in versies ouder dan 1.32.1. Zowel on-premises implementaties als de Azure Kubernetes Service zijn kwetsbaar. Hierdoor loopt een groot aantal organisaties risico.

Gezien de ernst van de kwetsbaarheid is het cruciaal dat organisaties hun Kubernetes-omgevingen snel patchen. Dit geldt in het bijzonder voor clusters met Windows-nodes, aangezien de kwetsbaarheid specifiek deze systemen treft.

Tip: Kubernetes 1.20 nu beschikbaar voor Azure Kubernetes Service