Krytyczna luka w Fission umożliwiająca eskalację uprawnień w kontenerach
Krytyczna luka w Fission przed wersją 1.24.0 pozwala na eskalację uprawnień w kontenerach Kubernetes. Zalecana szybka aktualizacja i ograniczenie uprawnień RBAC.
- CVSS
- 9.9 CRITICAL
- EPSS
- 20.75%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Fission, frameworku serverless dla Kubernetes, odkryto krytyczną lukę pozwalającą na uruchamianie kontenerów z podwyższonymi uprawnieniami przez użytkowników z uprawnieniami create/update RBAC. Luka umożliwia ucieczkę z piaskownicy kontenera oraz dostęp do systemu plików i sieci hosta, co może prowadzić do kompromitacji węzła i klastra.
Wpływ biznesowy
Eksploatacja tej luki może skutkować pełnym przejęciem kontroli nad węzłem Kubernetes oraz dostępem do zasobów klastra, co zagraża integralności i dostępności usług. Operatorzy infrastruktury powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze, aby zapobiec potencjalnym atakom i utracie danych.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Fission do wersji 1.24.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć uprawnienia RBAC użytkowników oraz monitorować logi pod kątem podejrzanej aktywności. Dodatkowo warto przeprowadzić przegląd konfiguracji środowiska i ograniczyć możliwość uruchamiania kontenerów z podwyższonymi uprawnieniami.