CVE-2024-9486 (CVSS 9.8): Vulnerabilidade crítica no Kubernetes Image Builder expõe VMs a acesso root completo

O Kubernetes Security Response Committee revelou duas vulnerabilidades graves no Kubernetes Image Builder: CVE-2024-9486 e CVE-2024-9594, que podem permitir o comprometimento de VMs por meio de acesso root. Essas vulnerabilidades surgem do uso de credenciais padrão não desabilitadas durante o processo de construção de imagens de VMs.

CVE-2024-9486: Risco Crítico no Provedor Proxmox

A vulnerabilidade mais severa, CVE-2024-9486 (pontuação CVSS 9.8), afeta especificamente o Proxmox. Nesse caso, as imagens de VM criadas com este provedor deixam habilitadas as credenciais padrão, permitindo que invasores obtenham controle total das VMs afetadas. Isso representa um risco altíssimo, já que essas máquinas virtuais permanecem acessíveis após a construção com as credenciais padrão, expondo as VMs a ataques remotos.

CVE-2024-9594: Outros Provedores em Risco Moderado

A segunda vulnerabilidade, CVE-2024-9594 (CVSS 6.3), afeta imagens criadas com os provedores Nutanix, OVA, QEMU e raw. Embora essas imagens também usem credenciais padrão durante a criação, o risco é mitigado, pois as credenciais são desativadas após a construção. No entanto, as VMs ainda ficam vulneráveis enquanto a imagem está em processo de construção. Isso significa que um invasor precisa ter acesso direto à máquina no momento da criação da imagem para explorar a falha.

Verificação e Impacto

Os clusters executando imagens de VM criadas com o Kubernetes Image Builder v0.1.37 ou anterior estão potencialmente expostos a essas falhas, especialmente se estiverem usando os provedores afetados. Para determinar se a sua versão do Image Builder é vulnerável, você pode executar comandos como make version para clones git ou docker run –rm <image pull spec> version para contêineres.

Medidas de Mitigação

A principal recomendação para mitigar o risco é a reconstrução das imagens afetadas usando o Kubernetes Image Builder v0.1.38 ou posterior, que corrige as vulnerabilidades. Como solução temporária para a CVE-2024-9486, os usuários podem desativar a conta de “builder” nas VMs afetadas utilizando o comando usermod -L builder.