平台
go
组件
k8s.io/kubernetes
修复版本
1.28.12
1.29.7
1.30.3
1.28.12
1.28.12
1.28.12
CVE-2024-10220 是 Kubernetes kubelet 中的一个严重漏洞,允许攻击者执行任意命令。该漏洞源于 kubelet 处理特定请求的方式,攻击者可以利用此缺陷在受影响的 Kubernetes 节点上执行恶意代码。该漏洞影响 Kubernetes 1.28.11 及更早版本,建议尽快升级至 1.28.12 以缓解风险。
攻击者利用 CVE-2024-10220 漏洞可以完全控制受影响的 Kubernetes 节点。这可能导致敏感数据的泄露、节点的破坏,甚至整个集群的控制权被夺取。攻击者可以利用此漏洞执行各种恶意活动,例如安装恶意软件、窃取凭据、发起拒绝服务攻击,或将节点用于其他恶意目的。由于 Kubernetes 在许多关键基础设施中被广泛使用,因此该漏洞的潜在影响非常大,可能导致严重的业务中断和数据泄露。
目前,该漏洞的公开利用代码(POC)尚未广泛传播,但由于其严重性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的利用概率。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations heavily reliant on Kubernetes for container orchestration are at significant risk. This includes cloud-native application deployments, microservices architectures, and any environment utilizing Kubernetes for managing containerized workloads. Specifically, clusters running older, unpatched versions of Kubernetes are particularly vulnerable.
• linux / server:
journalctl -u kubelet -g "arbitrary command execution"• linux / server:
ps aux | grep kubelet | grep -i "malicious_command"• generic web:
curl -I <kubelet_api_endpoint> | grep -i "CVE-2024-10220"disclosure
漏洞利用状态
EPSS
33.23% (97% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Kubernetes 集群升级至 1.28.12 或更高版本。如果升级不可行,可以考虑实施临时缓解措施,例如限制 kubelet 暴露的 API 端口,并使用网络策略来限制对 kubelet 的访问。此外,可以考虑使用 Web 应用防火墙 (WAF) 或入侵检测系统 (IDS) 来检测和阻止利用此漏洞的攻击尝试。升级后,请验证 kubelet 版本是否已成功更新,并检查系统日志中是否有任何异常活动。
Actualice kubelet a la última versión disponible que contenga la corrección para esta vulnerabilidad. Consulte los avisos de seguridad de Kubernetes para obtener detalles sobre las versiones corregidas. Evite el uso de volúmenes gitRepo no confiables.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-10220 是 Kubernetes kubelet 中的一个任意命令执行漏洞,允许攻击者在受影响的节点上执行代码。CVSS 评分为 8.1 (高)。
如果您正在使用 Kubernetes 1.28.11 或更早版本,则可能受到影响。请立即升级至 1.28.12 或更高版本。
建议升级至 Kubernetes 1.28.12 或更高版本。如果无法升级,请实施临时缓解措施,例如限制 kubelet API 端口的访问。
目前尚未观察到大规模的利用,但由于漏洞的严重性,预计未来可能会出现。
请访问 Kubernetes 安全公告页面:https://kubernetes.io/security/advisories/
上传你的 go.mod 文件,立即知道是否受影响。