Witold Kepinski - 21 augustus 2024

Kwetsbaarheid rond Microsoft Azure Kubernetes Services cluster is opgelost

Mandiant heeft deze kwetsbaarheid gemeld aan Microsoft via het Microsoft Security Response Center (MSRC)-programma voor het melden van kwetsbaarheden. Microsoft heeft het onderliggende probleem inmiddels opgelost.

Kwetsbaarheid rond Microsoft Azure Kubernetes Services cluster is opgelost image

Een aanvaller met toegang tot een kwetsbaar Microsoft Azure Kubernetes Services-cluster kan privileges hebben verhoogd en toegang hebben tot inloggegevens voor services die door het cluster worden gebruikt. Aanvallers die misbruik maken van dit probleem, kunnen toegang krijgen tot gevoelige informatie. Dit kan leiden tot gegevensdiefstal, financieel verlies, reputatieschade en andere gevolgen

 Het afdwingen van authenticatie voor interne services, het toepassen van gedetailleerde NetworkPolicies en het beperken van onveilige workloads met Pod Security zijn nu de inzet om post-exploitatie-activiteiten te voorkomen die een heel cluster in gevaar kunnen brengen. Deze beveiligingsconfiguraties die het aanvalsoppervlak beperken, helpen bij het voorkomen van zowel bekende als onbekende aanvallen.

Kwetsbaarheden

Azure Kubernetes Services-clusters die 'Azure CNI' gebruiken voor de 'Netwerkconfiguratie' en 'Azure' voor het 'Netwerkbeleid', werden beïnvloed door deze privilege-escalatiekwetsbaarheid. Een aanvaller met opdrachtuitvoering in een Pod die wordt uitgevoerd binnen een getroffen Azure Kubernetes Services-cluster, kan de configuratie downloaden die wordt gebruikt om het clusterknooppunt in te richten, de TLS-bootstraptokens (Transport Layer Security) extraheren en een TLS-bootstrapaanval uitvoeren om alle geheimen binnen het cluster te lezen. Deze aanval vereiste niet dat de Pod werd uitgevoerd met hostNetworkingesteld op trueen vereist niet dat de Pod wordt uitgevoerd als root.

Mandiant heeft deze kwetsbaarheid aan Microsoft gemeld via het MSRC-programma voor het bekendmaken van kwetsbaarheden. Microsoft heeft het onderliggende probleem inmiddels opgelost.

Axians 12/11/2024 t/m 26/11/2024 BN+BW