CVE-2025-7342:Kubernetes Image Builder在构建Windows镜像时存在默认凭据漏洞

本文详细披露了Kubernetes Image Builder项目中一个安全漏洞(CVE-2025-7342)。该漏洞影响使用Nutanix或OVA提供商构建的Windows虚拟机镜像,若用户未覆盖配置,镜像在构建过程中会启用默认的管理员凭据,可能导致未授权访问。文章提供了漏洞详情、影响版本、检测方法和修复方案。

问题描述

CVE-2025-7342: 使用Kubernetes Image Builder的Nutanix或OVA(VMware)提供商构建的Windows虚拟机镜像,若用户未主动覆盖凭据,则会使用默认凭据。

CVSS评分:高 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

在Kubernetes Image Builder中发现了一个安全问题:当使用Nutanix或VMware OVA提供商时,Windows镜像构建过程中会启用默认凭据。这些允许root访问的凭据在构建结束时会被禁用。仅当Kubernetes集群节点使用了通过Image Builder项目创建的VM镜像,并且攻击者在构建过程中访问了构建虚拟机并修改了镜像时,集群才会受到影响。

我是否受影响?

如果集群使用了通过Kubernetes Image Builder(版本v0.1.44或更早)构建的Windows虚拟机镜像,并且构建时使用了Nutanix或OVA提供商,则会受到影响。 使用所有其他提供商构建的镜像的虚拟机不受此问题影响。

确定您使用的Image Builder版本的方法:

  • 对于通过git克隆的image builder仓库:

    1
2

    cd <image builder仓库的本地路径>
make version

  • 对于使用tarball下载的安装:

    1
2

    cd <安装位置的本地路径>
grep -o v0\\.[0-9.]* RELEASE.md | head -1

  • 对于容器镜像版本:

    1

    docker run --rm <镜像拉取规格> version


    1

    podman run --rm <镜像拉取规格> version

    或者,对于官方镜像(如 registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44),查看指定的镜像标签。

受影响版本

  • Kubernetes Image Builder 版本 <= v0.1.44

如何缓解此漏洞?

  1. 使用已修复的Image Builder版本重建所有受影响的镜像。 此漏洞已在Kubernetes Image Builder版本v0.1.45中修复。
  2. 将修复后的镜像重新部署到任何受影响的虚拟机。
  3. 或者,使用image-builder v0.1.41(2025年2月)或更高版本,并设置 admin_password JSON变量。
  4. 升级前,可以通过更改受影响虚拟机上的Administrator账户密码来缓解此漏洞: 
    1

    net user Administrator <新密码>

已修复版本

检测

在受影响的Windows虚拟机上运行以下PowerShell命令:

1

Get-LocalUser -Name Administrator | Select-Object Name,Enabled,SID,Lastlogon | Format-List

如果您发现此漏洞已被利用的证据,请联系 security@kubernetes.io

补充信息

已修复的版本要求用户在 WINDOWS_ADMIN_PASSWORD 环境变量或 admin_password JSON变量中指定密码。如果两者均为空,则镜像构建器将不会构建镜像并返回错误。

致谢

此漏洞由Shielder的Abdel Adim Oisfi、Davide Silvetti、Nicolò Daprelà、Paolo Cavaglià、Pietro Tirenna报告。 该问题由Image Builder项目的Matt Boersma修复并协调处理。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次