严重漏洞：红帽OpenShift AI存在完全集群接管风险

红帽OpenShift AI服务中发现了一个严重性评分达9.9分（满分10分）的安全漏洞，远程攻击者只需最低限度的身份验证即可窃取数据、中断服务并完全控制该平台。

漏洞详情

红帽在安全警报中警告：“拥有认证账户访问权限的低权限攻击者（例如使用标准Jupyter笔记本的数据科学家）可以将其权限提升为完整的集群管理员。”该漏洞被追踪为CVE-2025-10725。

警报进一步说明：“这将导致集群的机密性、完整性和可用性完全受损。攻击者可以窃取敏感数据、中断所有服务，并控制底层基础设施，从而导致平台及其上托管的所有应用程序完全被入侵。”

漏洞评级差异

尽管该漏洞在国家漏洞数据库中获得9.9分的CVSS评分（属于严重级别），但红帽将其评定为“重要”级别。供应商解释称，这是因为攻击者需要某种程度的身份验证（尽管是最低限度的）才能危及混合云环境。

缓解措施

用户可以通过移除将kueue-batch-user-role ClusterRole与system:authenticated组链接的ClusterRoleBinding来缓解此漏洞。红帽补充道：“创建作业的权限应按照最小权限原则，在更细粒度的基础上根据需要授予特定用户或组。”

此外，供应商建议不要向系统级组授予广泛权限。

技术背景

OpenShift AI是一个用于在混合云环境中构建和管理AI应用程序的开放平台。安全问题的根源在于名为“kueue-batch-user-role”的角色被错误地绑定到system:authenticated组。

根据Bugzilla漏洞跟踪报告：“这授予任何经过身份验证的实体（包括用户工作台的低权限服务账户）在任何命名空间中创建OpenShift作业的权限。”

攻击路径

低权限账户可能滥用此漏洞在特权命名空间中调度恶意作业，将其配置为使用高权限ServiceAccount运行，窃取该ServiceAccount令牌，然后“逐步渗透并破坏更强大的账户，最终实现在集群主节点上获得root访问权限，导致完全集群接管。”

专家建议

众包安全公司Bugcrowd的首席战略与信任官Trey Ford表示：“提供低权限用户完全接管环境路径的漏洞需要以事件响应周期的形式进行修补，寻求证明环境尚未被破坏。”

换句话说：“假设已被入侵，”Ford补充道。“管理OpenShift AI基础设施的管理员需要紧急修补此漏洞——对于寻求获取访问权限和数据的攻击者来说，这是一个令人欣喜的漏洞模式。安全团队必须有目的地行动，既要验证这些环境是否已修补，又要调查确认其集群是否已被入侵。”