摘要
近期披露的两个漏洞(CVE-2024-9486 CVSS 9.8和CVE-2024-9594 CVSS 6.3)影响Kubernetes镜像构建器,攻击者在特定条件下可利用这些漏洞获取Kubernetes节点的root权限。部分镜像构建提供商未在构建完成后禁用默认管理凭证,导致节点部署后可能被入侵。该问题已在Image Builder v0.1.38版本修复,建议用户重建并重新部署受影响镜像。
受影响系统及组件
所有v0.1.37及更早版本的Image Builder均受影响,涉及以下提供商:
- 最严重场景:Proxmox
- 其他受影响提供商:Nutanix、OVA、QEMU和raw格式
技术细节/攻击概述
CVE-2024-9486
该漏洞存在于使用Proxmox提供商的旧版Image Builder中。构建过程中启用的默认凭证未在完成后正确禁用,导致攻击者可通过残留凭证获取节点root权限。v0.1.38版本通过以下方式修复:
- 构建期间仅生成随机临时密码
- 镜像构建完成后强制禁用builder账户
CVE-2024-9594
此漏洞与CVE-2024-9486类似,但影响Nutanix/OVA/QEMU/raw提供商。关键区别在于:
- 仅能在镜像部署周期内被利用
- 无法在构建完成后维持访问 因此其CVSS评分较低(6.3)
修复建议
- 临时缓解:在受影响虚拟机上禁用builder账户
- 彻底修复:
- 使用已修复的Image Builder v0.1.38重建镜像
- 重新部署所有受影响虚拟机
威胁现状
Kudelski安全团队尚未监测到这些漏洞的主动利用行为,将持续跟踪相关动态。