Vulnerabilidad Crítica en Kubernetes Image Builder

Se ha descubierto una vulnerabilidad crítica en las versiones de Kubernetes Image Builder, que afecta a los clústeres que utilizan imágenes de máquinas virtuales construidas a través de este sistema. Esta situación representa un riesgo significativo para la seguridad de los entornos de nube y la infraestructura de los usuarios que dependen de Kubernetes para la orquestación de contenedores.

  • CVE-2024-9486 (CVSS 9.8): Esta vulnerabilidad crítica surge durante el proceso de construcción de imágenes de máquinas virtuales (VM) utilizando Kubernetes Image Builder. El problema radica en que, durante el proceso de creación de la imagen, se habilitan credenciales predeterminadas que no son desactivadas correctamente al finalizar la construcción. Como resultado, un atacante puede utilizar estas credenciales predeterminadas para obtener acceso a las VM generadas a través de estas imágenes, accediendo al sistema como usuario root.

Productos y versiones afectadas:

  • Versiones anteriores o igual a la 0.1.37 de Kubernetes Image Builder.

Solución:

  • Actualizar a la versión 0.1.38 o posterior.

Recomendaciones:

  • Actualizar a la última versión disponible de Kubernetes Image Builder.
  • Regenerar las imágenes de VM afectadas y rediseñar los entornos vulnerables.
  • Implementar buenas prácticas de seguridad como la desactivación de cuentas predeterminadas y la auditoría periódica de accesos.

Referencias: