近日，安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞（CVE-2024-9486 ，CVSS ：9.8），攻击者可在特定情况下获得Root级访问权限，从而导致系统出现问题。

Nicolai Rybnikar进一步表示，该漏洞可允许在镜像构建过程中默认凭据保持启用状态，使用Proxmox提供商构建的虚拟机镜像没有禁用这些默认凭据，这意味着使用这些镜像的节点可能可以通过这些凭据访问。

漏洞详情

描述：该漏洞存在于Kubernetes镜像构建器处理某些操作的方式中，可能允许攻击者利用它获得对底层节点的根级访问权限。

影响：成功利用可能导致攻击者完全控制受影响的节点，从而执行任意命令、修改系统文件和访问敏感数据。

潜在攻击向量

镜像构建过程：攻击者可能针对镜像构建过程，注入恶意代码或配置。
供应链攻击：通过受损的镜像或构建工具，攻击者可以利用该漏洞。

影响范围

Kubernetes镜像漏洞对应0.1.37及更早版本。使用Proxmox提供商的这些版本的集群尤其容易受到影响。不仅影响集群的即时安全性，还影响其操作完整性。 相比之下，使用其他提供商构建的镜像不共享此漏洞，因此其影响范围更可控。企业更新到Image Builder的最新版本，实施推荐的缓解策略，并持续监测。

缓解策略

更新Kubernetes：确保所有Kubernetes组件（包括镜像构建器）都更新到包含CVE-2024-9486补丁的最新版本。版本0.1.38纠正了漏洞并引入了重大更改：它在镜像构建期间设置了一个随机生成的密码，并在完成后禁用构建器帐户。在此期间，组织可以通过在受影响的虚拟机上禁用构建器帐户来降低风险。

镜像扫描：实施严格的镜像扫描和验证过程，以检测并防止使用受损的镜像。

访问控制：加强访问控制和权限，限制谁可以与镜像构建器及相关组件进行交互。

监控和日志记录：增强监控和日志记录，以便快速检测可疑活动并对潜在的入侵做出响应。

安全建议

立即行动：评估当前Kubernetes环境的状态，并尽快应用必要的补丁。
安全审计：进行全面的安全审计，以识别可能被利用的任何潜在弱点或配置错误。
员工培训：教育团队了解与该漏洞相关的风险以及保护容器化环境的最佳实践。

Kubernetes镜像构建器中的CVE-2024-9486漏洞凸显了在容器化环境中维护更好安全实践的关键重要性，此漏洞尤其对使用受影响版本和Proxmox提供商的组织构成风险。升级到版本0.1.38是保护系统免受未经授权访问和潜在混乱的必要步骤。此外，实施推荐的缓解策略并进行定期的安全审计将有助于保护防御措施免受此漏洞及未来漏洞的侵害。