【安全资讯】CVE-2024-43403：Kanister漏洞导致集群级别权限升级

概要：

Kanister是一个广泛使用的数据保护工作流管理工具，最近被发现存在一个严重漏洞CVE-2024-43403。该漏洞可能允许攻击者完全控制Kubernetes集群。此漏洞由UMN的博士后研究员Nanzi Yang发现，涉及默认的Kanister操作员部署。

主要内容：

该漏洞的核心问题在于默认的Kanister操作员部署与Kubernetes的ClusterRole“edit”相关联。这个ClusterRole是Kubernetes的默认角色之一，配置权限包括创建、修补和更新daemonset资源，创建服务账户令牌以及模拟服务账户。如果恶意用户获得托管默认Kanister操作员的工作节点访问权限，他们可以通过多种方式利用此漏洞。

首先，通过利用daemonset资源上的创建、修补和更新权限，攻击者可以创建或修改一组Pods，以挂载高权限服务账户，例如cluster-admin服务账户。这将允许攻击者使用服务账户令牌来控制整个集群。其次，edit ClusterRole还允许创建服务账户令牌。恶意行为者可以生成具有高权限角色的新令牌，并使用它们来操纵集群内的任何资源，进一步升级他们的控制权。

此外，通过模拟服务账户的能力，攻击者可以假冒高权限账户，如cluster-admin。这将授予他们执行创建、修改或删除Kubernetes环境中关键资源的全部权限。CVE-2024-43403的潜在影响非常严重，如果不加以解决，可能导致Kubernetes集群的完全接管。Kanister项目已发布安全公告，敦促用户更新到最新版本，以修复此漏洞。对于使用Kanister的组织来说，立即应用更新以保护其Kubernetes环境免受潜在攻击至关重要。