【安全资讯】Rancher Kubernetes Engine 关键漏洞暴露敏感凭证

概要：

Rancher Kubernetes Engine (RKE) 发现了一个严重漏洞（CVE-2023-32191），该漏洞评分为CVSS 10分，极大地威胁了Kubernetes集群的安全性和完整性。此漏洞涉及RKE在存储集群状态信息时的安全缺陷，可能导致敏感凭证的泄露。

主要内容：

Rancher Kubernetes Engine (RKE) 是一种广泛使用的Kubernetes发行版，简化了Kubernetes的安装和操作。最近发现的CVE-2023-32191漏洞，评分为CVSS 10分，严重威胁了由RKE管理的Kubernetes集群的安全性。RKE在kube-system命名空间的ConfigMap中存储了包括SSH凭证、AWS访问密钥、Azure AD客户端密钥、Kubernetes加密密钥等敏感数据。

由于这些凭证存储在ConfigMap中，任何具有读取权限的用户都可以获得对整个Kubernetes集群的管理级控制权。这种访问权限可能导致严重的机密性、完整性和可用性问题，潜在地将组织的整个云基础设施暴露给恶意行为者。ConfigMap包含了Kubernetes集群的完整状态，包括关键配置细节和集群操作所需的凭证。

尽管访问ConfigMap通常需要RKE集群内的权限，但并不限于管理员。具有读取权限的非管理员用户也可以利用此漏洞，获得未授权的访问和控制权。为了缓解CVE-2023-32191漏洞，RKE用户必须升级到修补版本：RKE 1.4.19和1.5.10，Rancher 2.7.14和2.8.5。这些更新将集群状态从ConfigMap迁移到更安全的kube-system命名空间中的secret中，访问此secret的权限仅限于具有适当权限的用户，特别是Rancher中的管理员和集群所有者角色。对于无法立即升级的用户，没有有效的解决方法，因此必须优先升级RKE以保护Kubernetes环境免受潜在的利用。