プラットフォーム
go
コンポーネント
github.com/openshift/openshift-controller-manager
修正版
4.18.1
0.0.0-alpha.0.0.20240911
OpenShift Container Platformに、特権の誤用によるリモートコード実行(RCE)の脆弱性が存在します。この脆弱性は、ビルドプロセスの初期化段階におけるgit-cloneコンテナが特権セキュリティコンテキストで実行されることに起因します。攻撃者は、クラフトされた.gitconfigファイルを提供することで、workerノード上で任意のコマンドを実行できる可能性があります。影響を受けるバージョンは、OpenShift Container Platformの特定のビルドです。
この脆弱性を悪用されると、攻撃者はOpenShift環境内のworkerノード上で任意のコードを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはネットワークへの不正アクセスといった深刻な被害が発生する可能性があります。特に、OpenShiftのビルドプロセスに関与するコンポーネントへのアクセス権限を持つ攻撃者にとって、この脆弱性は非常に危険です。この脆弱性は、特権コンテナ内でコードを実行できるため、システム全体の制御を奪われるリスクがあります。攻撃者は、この脆弱性を利用して、他のコンテナやネットワークリソースへのアクセスを試み、さらなる攻撃を仕掛ける可能性があります。
この脆弱性は、CISA KEVカタログに追加される可能性があります。現時点では、公開されているPoCは確認されていませんが、OpenShift環境へのアクセス権限を持つ攻撃者にとって、この脆弱性は悪用可能なリスクとなります。NVD(National Vulnerability Database)およびOpenShiftの公式セキュリティアドバイザリを定期的に確認し、最新の情報を入手することが重要です。
Organizations deploying OpenShift Container Platform, particularly those with developer access granted to external contributors or automated build pipelines, are at significant risk. Environments utilizing custom build configurations or integrating external repositories should be prioritized for remediation.
• linux / server:
journalctl -u openshift-controller-manager -g 'git-clone' | grep -i error• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openshift*'} | Format-List TaskName, Actions• generic web:
curl -I <openshift_build_endpoint>disclosure
patch
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずOpenShift Container Platformを0.0.0-alpha.0.0.20240911以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、git-cloneコンテナの特権セキュリティコンテキストを制限するなどの緩和策を検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のある.gitconfigファイルのアップロードをブロックすることも有効です。OpenShiftのアクセス制御を強化し、開発者権限を持つユーザーの範囲を最小限に抑えることも重要です。アップグレード後、コンテナのログを監視し、異常なコマンド実行の兆候がないか確認してください。
OpenShift Container Platform を修正されたバージョンにアップデートしてください。詳細な手順については、Red Hat セキュリティアドバイザリ (RHSA) RHSA-2024:3718, RHSA-2024:6685 および RHSA-2024:6687 を参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-45496は、OpenShift Container Platformのビルドプロセスにおける特権の誤用により発生するリモートコード実行(RCE)の脆弱性です。攻撃者は、クラフトされた.gitconfigファイルを利用して、workerノード上で任意のコマンドを実行できる可能性があります。
はい、OpenShift Container Platformを運用している組織は、この脆弱性による攻撃のリスクにさらされています。攻撃者は、システムの制御を奪い、機密情報を窃取する可能性があります。
OpenShift Container Platformを0.0.0-alpha.0.0.20240911以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、緩和策を検討してください。
現時点では、公開されているPoCは確認されていませんが、OpenShift環境へのアクセス権限を持つ攻撃者にとって、この脆弱性は悪用可能なリスクとなります。
OpenShiftの公式セキュリティアドバイザリは、Red Hatのセキュリティアドバイザリポータルで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。