Plataforma
kubernetes
Componente
kubernetes
Corrigido em
N/A
N/A
N/A
N/A
N/A
N/A
N/A
O CVE-2019-11244 afeta o Kubernetes nas versões 1.8.0 até 1.14.x. A vulnerabilidade reside em como o kubectl armazena informações de esquema em cache, utilizando o diretório especificado pela flag --cache-dir. Se este diretório for configurado com permissões de escrita global (rw-rw-rw-), outros usuários no sistema podem modificar os arquivos de cache, potencialmente interrompendo o funcionamento do kubectl.
A principal consequência desta vulnerabilidade é a possibilidade de interrupção do kubectl, a ferramenta de linha de comando para interagir com o cluster Kubernetes. Um atacante com acesso ao sistema pode modificar os arquivos de cache, levando a erros na comunicação com o cluster, falhas na aplicação de configurações ou até mesmo a negação de serviço. Embora a severidade seja classificada como baixa, o impacto pode ser significativo em ambientes de produção, especialmente se o cluster for crítico para as operações da organização. A exploração bem-sucedida requer acesso ao sistema onde o kubectl está sendo executado e a capacidade de modificar os arquivos no diretório de cache.
Este CVE foi publicado em 22 de abril de 2019. Não há relatos públicos de exploração ativa. A probabilidade de exploração é considerada baixa, devido à necessidade de acesso local ao sistema e à complexidade da exploração. Não está listado no KEV da CISA.
Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.
• linux / server:
find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx• kubernetes / cluster:
Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.
disclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
Vetor CVSS
A mitigação primária é atualizar o Kubernetes para uma versão corrigida (v1.14 ou superior). Se a atualização imediata não for possível, considere restringir as permissões do diretório de cache (--cache-dir) para que apenas o usuário que executa o kubectl tenha acesso de escrita. Outra medida é monitorar o diretório de cache em busca de modificações inesperadas. Em ambientes com alta segurança, desabilitar o cache do kubectl pode ser uma opção, embora isso possa impactar o desempenho. Após a atualização, confirme a correção verificando a versão do Kubernetes e a integridade dos arquivos de cache.
Atualizar Kubernetes para uma versão posterior a 1.14.x. Como medida temporária, certifique-se de que o diretório de cache do kubectl (--cache-dir) não seja acessível por outros usuários/grupos, ou não o especifique para usar o valor padrão no diretório home do usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
v1.8 - v1.14?É uma vulnerabilidade que permite a modificação de arquivos de cache do kubectl por usuários não autorizados, potencialmente interrompendo o funcionamento do Kubernetes.
v1.8 - v1.14?Sim, se você estiver utilizando uma versão do Kubernetes entre 1.8.0 e 1.14.x, você está potencialmente afetado.
v1.8 - v1.14?Atualize para a versão v1.14 ou superior. Se a atualização não for possível, restrinja as permissões do diretório de cache do kubectl.
Até o momento, não há relatos públicos de exploração ativa desta vulnerabilidade.
Consulte o advisory oficial do Kubernetes em: https://kubernetes.io/blog/news/k8s-v1-14-is-here/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.