Kubernetes K3s ReadOnlyPort Yanlış Yapılandırması Hassas Kimlik Bilgilerini Açığa Çıkarıyor

byCrow -

 Kubernetes K3s ReadOnlyPort Yanlış Yapılandırması Hassas Kimlik Bilgilerini Açığa Çıkarıyor

Genel bakış

CVE-2025-46599, 1.32.4-rc1+k3s1 öncesi CNCF K3s (Hafif Kubernetes) sürümlerini  etkileyen bir güvenlik açığıdır  ; burada  kubelet bileşenindeki bir yanlış yapılandırma, belirli koşullar altında ReadOnlyPort'u  yanlışlıkla  10255  olarak  ayarlar. Bu yanlış yapılandırma  , kubelet'in salt okunur API'sine  kimliği doğrulanmamış erişime  izin verebilir ve  kimlik bilgileri, pod meta verileri ve düğüm ölçümleri gibi hassas bilgileri ifşa edebilir .

Önemli Ayrıntılar

  • CVSS Puanı:  6.8 (ORTA)

  • Etkilenen Sürümler:  K3s  1.32.0 ila 1.32.3

  • Sabit Sürüm:  1.32.4-rc1+k3s1

  • Yayımlanma Tarihi:  25 Nisan 2025

Kök Neden Analizi

Hafif bir Kubernetes dağıtımı olan K3s, düğüm işlemlerini yöneten bir paket  kubelet içerir. Güvenlik açığı, şu durumlarda istenmeyen bir yapılandırma değişikliği  nedeniyle ortaya çıkar   :

  • Bazı  dağıtım senaryolarında ReadOnlyPort   (varsayılan:  10255 )  etkinleştirilir .

  • Bu portta  kimlik doğrulaması bulunmadığından ,   ağdaki kimliği doğrulanmamış herhangi bir kullanıcı Kubelet uç noktalarına erişebilir.

Etkilenen Senaryolar

  1. Varsayılan Çevrimiçi Kurulumlar:

    • Yeni K3 dağıtımları  10255'icurl -sfL https://get.k3s.io | sh açıkta  bırakabilir   .

  2. Özel Yapılandırmalar:

    • Kullanıcılar kubelet bayraklarını açıkça devre dışı bırakmadan değiştirirse  --read-only-port, port açık kalır.

Sömürü Senaryosu

K3s düğümüne ağ erişimi olan bir saldırgan şunları yapabilir:

  1. Açık Limanı Keşfedin:

    ş
    Kopyala
    İndirmek
    nmap -p 10255 <K3s_Node_IP>

    10255 portu   açıksa kubelet API'sine erişilebilir.

  2. Hassas Uç Noktalara Erişim:

    • Pod Bilgilerini Al:

      ş
      Kopyala
      İndirmek
      curl http://<K3s_Node_IP>:10255/pods

      Bu , sırları, ortam değişkenlerini ve pod meta verilerini açığa çıkarabilir  .

    • Düğüm Ölçümlerini Çıkar:

      ş
      Kopyala
      İndirmek
      curl http://<K3s_Node_IP>:10255/metrics

      Kaynak kullanımını, çalışan kapsayıcıları ve düğüm sağlığını ortaya çıkarır  .

  3. Yanal Hareket:

    • Kimlik bilgileri (örneğin, hizmet hesabı belirteçleri) sızdırılırsa, bir saldırgan küme içindeki ayrıcalıkları artırabilir.

Azaltma ve Düzeltmeler

Hemen Çözüm

ReadOnlyPort'u manuel olarak devre dışı bırakın   :

  1. K3s Yapılandırmasını Düzenle:

    ş
    Kopyala
    İndirmek
    sudo vi /etc/systemd/system/k3s.service

    Eklemek:

    Kopyala
    İndirmek
    ExecStart=/usr/local/bin/k3s sunucusu --kubelet-arg="salt-okunur-port=0"

  2. K3s'yi yeniden başlatın:

    ş
    Kopyala
    İndirmek
    sudo systemctl daemon-yeniden yükleme
sudo systemctl k3s'i yeniden başlat

Resmi Düzeltme

K3s v1.32.4-rc1+k3s1 veya sonraki bir sürüme yükseltin   :

ş
Kopyala
İndirmek
curl -sfL https://get.k3s.io | K3S_VERSION_YÜKLE=v1.32.4-rc1+k3s1 sh -

Ağ Düzeyinde Koruma

  •  Güvenlik duvarında 10255 numaralı portu engelle :

    ş
    Kopyala
    İndirmek
    sudo iptables -A GİRİŞ -p tcp --dport 10255 -j BIRAK

Çözüm

 CVE-2025-46599 , K3'lerde  yanlış yapılandırılmış kubelet ayarlarının yetkisiz veri ifşasına yol açan risklerini vurgular  . Yöneticiler şunları yapmalıdır:
✔  Hemen  yamalı sürüme yükseltin
. ✔   Yükseltme mümkün değilse ReadOnlyPort'u devre dışı bırakın
. ✔   10255 numaralı bağlantı noktasına beklenmeyen erişim için ağ trafiğini izleyin .

Bu güvenlik açığı , K3 gibi hafif dağıtımlarda bile Kubernetes bileşenlerinin güçlendirilmesinin önemini vurguluyor  .


Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu