Krytyczna luka w Fission do wersji 1.24.0 umożliwiająca eskalację uprawnień w Kubernetes
Krytyczna luka w Fission do wersji 1.24.0 pozwala na eskalację uprawnień w Kubernetes. Zalecana natychmiastowa aktualizacja i weryfikacja konfiguracji podów.
- CVSS
- 9.9 CRITICAL
- EPSS
- 19.19%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Fission, framework serverless dla Kubernetes, przed wersją 1.24.0 pozwalał na niekontrolowane przekazywanie niebezpiecznych ustawień podów, takich jak hostNetwork czy uprawnienia uprzywilejowane. Luka ta może prowadzić do eskalacji uprawnień i naruszenia izolacji środowiska.
Wpływ biznesowy
Operatorzy i właściciele infrastruktury Kubernetes korzystający z Fission powinni być świadomi, że podatność o wysokim poziomie krytyczności (CVSS 9.9) może umożliwić atakującym uzyskanie nieautoryzowanego dostępu do zasobów klastra. Może to skutkować poważnymi naruszeniami bezpieczeństwa i wpływać na stabilność oraz poufność środowiska produkcyjnego.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Fission do wersji 1.24.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do środowiska Fission, przeglądnąć i zweryfikować konfiguracje podów pod kątem nieautoryzowanych ustawień oraz monitorować logi pod kątem podejrzanej aktywności. Priorytetowo traktować wdrożenie poprawek i stosować zasady minimalnych uprawnień.