Plataforma
go
Componente
github.com/openshift/openshift-controller-manager
Corrigido em
4.18.1
0.0.0-alpha.0.0.20240911
Uma vulnerabilidade de Execução Arbitrária de Código (RCE) foi descoberta no OpenShift Container Platform (OCP). Esta falha ocorre devido ao uso inadequado de privilégios durante o processo de construção do OCP. Um atacante com acesso de desenvolvedor pode explorar essa falha para executar comandos arbitrários no nó do trabalhador, comprometendo a segurança do sistema. A correção está disponível a partir da versão 0.0.0-alpha.0.0.20240911.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante com acesso de desenvolvedor execute comandos arbitrários no nó do trabalhador do OpenShift. Isso pode levar à escalada de privilégios, comprometimento do sistema operacional subjacente e acesso não autorizado a dados confidenciais. O impacto potencial é severo, pois um atacante pode obter controle total sobre o nó, permitindo a instalação de malware, roubo de dados e interrupção de serviços. A vulnerabilidade se assemelha a cenários de escalada de privilégios em ambientes de contêiner onde processos privilegiados são executados com acesso excessivo aos recursos do host.
A vulnerabilidade foi publicada em 17 de setembro de 2024. Não há informações disponíveis sobre a adição a KEV (CISA KEV catalog) ou EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade (RCE) a torna um alvo atraente para exploração. É recomendável monitorar ativamente as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations deploying OpenShift Container Platform, particularly those with developer access granted to external contributors or automated build pipelines, are at significant risk. Environments utilizing custom build configurations or integrating external repositories should be prioritized for remediation.
• linux / server:
journalctl -u openshift-controller-manager -g 'git-clone' | grep -i error• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openshift*'} | Format-List TaskName, Actions• generic web:
curl -I <openshift_build_endpoint>disclosure
patch
Status do Exploit
EPSS
0.13% (percentil 33%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão corrigida do OpenShift Container Platform (0.0.0-alpha.0.0.20240911 ou superior). Se a atualização imediata não for possível, considere restringir o acesso de desenvolvedor ao processo de construção. Implemente políticas de segurança que minimizem os privilégios concedidos aos contêineres de construção. Monitore logs de auditoria em busca de atividades suspeitas relacionadas ao processo de construção e à execução de comandos. Após a atualização, confirme a correção verificando a versão do OpenShift e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente mitigada.
Atualize a OpenShift Container Platform para uma versão corrigida. Consulte os avisos de segurança da Red Hat (RHSA) RHSA-2024:3718, RHSA-2024:6685 e RHSA-2024:6687 para obter mais detalhes e instruções de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-45496 is a critical Remote Code Execution vulnerability in OpenShift Container Platform, allowing attackers to execute arbitrary commands on worker nodes through a crafted .gitconfig file.
You are affected if you are running OpenShift Container Platform versions prior to 0.0.0-alpha.0.0.20240911 and have developer-level access to the build process.
Upgrade to OpenShift Container Platform version 0.0.0-alpha.0.0.20240911 or later. Restrict build process access and validate configuration files.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts.
Refer to the official OpenShift security advisory for detailed information and mitigation guidance: [https://security.openshift.io/](https://security.openshift.io/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.