ช่องโหว่ CVE-2024-9486 ใน Kubernetes Image Builder เปิดช่องให้ผู้โจมตีเข้าถึง VM ผ่าน SSH ได้ โดยเฉพาะกับ Proxmox provider
นักวิจัยด้านความมั่นคงปลอดภัยตรวจพบช่องโหว่ร้ายแรงใน Kubernetes Image Builder ที่อาจทำให้ผู้ไม่ได้รับอนุญาตสามารถเข้าถึง VM ผ่าน SSH ได้ เนื่องจากมีการเปิดใช้งาน Default Credential ในระหว่างกระบวนการสร้าง Image ช่องโหว่นี้มีรหัส CVE-2024-9486 ได้รับคะแนนความรุนแรง 9.8 จาก 10 ตามมาตรฐาน CVSS และส่งผลกระทบต่อ Image VM ที่สร้างด้วย Proxmox provider บน Image Builder เวอร์ชัน 0.1.37 หรือเก่ากว่า
ปัญหานี้ยังส่งผลกระทบต่อ Image ที่สร้างด้วย Nutanix, OVA, QEMU หรือ raw providers แต่ในกรณีเหล่านี้มีความรุนแรงน้อยกว่า โดยได้รับคะแนน CVSS 6.3 และรหัส CVE-2024-9594 เนื่องจาก providers เหล่านี้จะปิดการใช้งาน Default Credential เมื่อสิ้นสุดกระบวนการสร้าง Image
ผู้ใช้งานสามารถแก้ไขช่องโหว่นี้โดยอัปเกรดเป็น Image Builder เวอร์ชัน 0.1.38 หรือใหม่กว่า ซึ่งจะตั้งค่ารหัสผ่านแบบสุ่มระหว่างการสร้าง Image และปิดการใช้งานบัญชี builder เมื่อสิ้นสุดกระบวนการ นอกจากนี้หลังจากที่มีการแพตช์เรียบร้อยแล้ว ผู้ดูแลระบบควรทำการสร้าง Image ใหม่ให้กับ VM ที่ได้รับผลกระทบทั้งหมด
ที่มา: https://www.theregister.com/2024/10/16/critical_kubernetes_image_builder_bug/