Karmada, es una plataforma de gestión multinube (multicluster) basada en Kubernetes. Su propósito principal es permitir a los usuarios administrar múltiples clústeres de Kubernetes de forma centralizada, independientemente de si están alojados en entornos locales (on-premises), en nubes públicas o en nubes híbridas. Se ha identificado una vulnerabilidad crítica que representa un riesgo significativo para sus usuarios.
- CVE-2024-56513 (CVSS: 8.7): Control Administrativo No Autorizado, afecta a los clústeres en modo PULL registrados a través del comando
karmadactl register. Esta vulnerabilidad es de suma importancia debido a los excesivos privilegios otorgados a estos clústeres. Un atacante capaz de autenticarse como agente karmada podría explotar estos permisos para obtener control administrativo sobre todo el sistema de la federación, incluidos todos los grupos de miembros.
.
Impactos potenciales incluyen:
- Acceso no autorizado a datos sensibles de configuración.
- Manipulación o interrupción de la programación del tráfico de aplicaciones.
- Ataques laterales entre clústeres miembros.
.
Productos y versiones afectadas:
- Karmada: todas las versiones anteriores a la 1.12.0.
.
Solución:
- Actualizar Karmada a la versión 1.12.0.
.
Recomendaciones:
- Actualizar a la versión 1.12.0 o posterior de Karmada de inmediato.
- Configurar las restricciones de permisos en clústeres en modo PULL según la documentación oficial.
- Monitorear continuamente los sistemas para detectar actividades sospechosas o accesos no autorizados.
.
Referencias: