Thought Leadership
Der Sicherheitsexperte Tomer Peled von Akamai hat eine schwerwiegende Sicherheitslücke in Kubernetes identifiziert, die unter der Bezeichnung CVE-2024-9042 registriert wurde.
Diese Schwachstelle ermöglicht es Angreifern, mithilfe von Remote-Code-Ausführung (RCE) SYSTEM-Rechte auf Windows-Endpunkten innerhalb eines Kubernetes-Clusters zu erlangen.
Ursache und Bedingungen für die Ausnutzung
Die Sicherheitslücke tritt auf, wenn ein Kubernetes-Cluster mit aktiviertem „Log Query“-Feature konfiguriert ist. Dieses Feature ist ein neuer Protokollierungsmechanismus, der für eine effizientere Abfrage von Log-Daten eingeführt wurde. In Clustern, die diese Funktion nutzen, kann die Schwachstelle durch eine einfache GET-Anfrage an einen Remote-Knoten ausgenutzt werden.
Ein erfolgreicher Angriff könnte schwerwiegende Konsequenzen haben: Da der Angreifer SYSTEM-Rechte auf den Windows-Knoten eines Clusters erlangt, wäre eine vollständige Kompromittierung dieser Maschinen möglich. Besonders brisant ist, dass die Schwachstelle in Standardinstallationen von Kubernetes auftreten kann, sofern diese Beta-Funktionen aktiviert haben.
Die Schwachstelle wurde in Kubernetes-Versionen vor 1.32.1 entdeckt und betrifft sowohl lokale Installationen als auch Cloud-basierte Umgebungen wie den Azure Kubernetes Service.
Angesichts der potenziellen Risiken wird dringend empfohlen, Kubernetes-Installationen zu aktualisieren und Beta-Funktionen nur mit besonderer Vorsicht zu aktivieren. Administratoren sollten zudem prüfen, ob der „Log Query“-Mechanismus in ihren Clustern aktiv ist und entsprechende Sicherheitsmaßnahmen ergreifen.
