Kubernetes 中存在三个相互关联的高危漏洞，可用于以提升权限在集群的Windows 端点上实现远程代码执行。

这些漏洞是CVE-2023-3676、CVE-2023-3893和CVE-2023-3955，CVSS评分为8.8，影响所有具有Windows 节点的K8s 环境。经 Akamai 公司在2023年7月13日报送后，修复方案已在2023年8月23日发布。

Akamai 公司的研究员 Tomer Peled 发布文章表示，“该漏洞可导致具有系统权限的人员在K8s 集群的所有 Windows 端点上执行远程代码。要利用该漏洞，攻击者需要在集群上应用恶意 YAML 文件。”

AWS、谷歌Cloud 以及微软 Azure 为这些漏洞发布安全公告，这些漏洞影响如下 Kubelet 版本：

简言之，CVE-2023-3676可使具有“应用”权限的攻击者注入任意代码，从而以系统权限在远程 Windows 机器上执行。Peled 提到，“CVE-2023-3676要求低权限，因此攻击门槛不高，攻击者所需的不过是访问一个节点并应用权限。”

该漏洞和CVE-2023-3955的根因在于缺乏输入清洁，因此可导致特殊构造的路径字符串解析为 PowerShell 命令参数，从而导致命令执行。

CVE-2023-3893 与 Container Storage Interface (CSI) 代理中的提权相关，可导致恶意人员获得节点的管理员权限。K8s 安全平台 ARMO 上个月表示，“这些漏洞中的重现主题是Windows 特定的Kubelet 端口缺乏输入清洁剂。具体而言，软件在处理 Pod 定义时未能正确验证或清洁用户输入，从而导致恶意人员通过环境变量构造 pod 并托管路径，而在处理路径时可导致非预期行为如提权等。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~