Se ha revelado una vulnerabilidad crítica en el Generador de Imágenes de
Kubernetes que permite a los atacantes obtener acceso root a nodos de
Windows mediante el uso de credenciales predeterminadas e integradas en
imágenes de máquinas virtuales.
vulnerabilidad, designada CVE-2025-7342 (CVSS 8.1), afecta a imágenes de
máquinas virtuales creadas con proveedores específicos y ha requerido la
intervención inmediata del equipo de seguridad de Kubernetes. La falla afecta a imágenes creadas con proveedores Nutanix u OVA en las
versiones v0.1.44 y anteriores del Kubernetes Image Builder.
La vulnerabilidad se debe a las credenciales predeterminadas que permanecen
habilitadas durante el proceso de creación de imágenes al utilizar los
proveedores Nutanix u OVA de Kubernetes Image Builder para Windows. Estas
credenciales predeterminadas no se deshabilitan correctamente en las imágenes
de máquina virtual resultantes, lo que podría permitir a los atacantes obtener
acceso root no autorizado a los sistemas afectados.
Cabe destacar que las máquinas virtuales creadas con otros proveedores dentro
del ecosistema de Image Builder no se ven afectadas por esta
vulnerabilidad.
La gravedad de este problema es crucial, ya que una explotación exitosa podría
otorgar a los atacantes control administrativo completo sobre los nodos de
Windows afectados. Este nivel de acceso podría comprometer las operaciones
completas del clúster de Kubernetes, lo que lo convierte en una preocupación
crítica para las organizaciones que ejecutan cargas de trabajo de Windows en
sus entornos de Kubernetes.
Las organizaciones pueden determinar su exposición a esta vulnerabilidad
mediante varios métodos de identificación:
-
Para los usuarios que trabajan con clones GIT del repositorio del generador
de imágenes, ejecutar"make version"en la ruta del repositorio
local revelará la versión actual. Quienes utilicen instalaciones tarball
pueden ejecutargrep -o v0\\.[0-9.]* RELEASE.md | head -1para
extraer la información de la versión. -
Los usuarios de imágenes de contenedor pueden verificar su versión
ejecutando
docker run --rm <image pull spec> version
o examinando directamente la etiqueta de la imagen.
-
Las imágenes oficiales siguen la convención de nomenclatura
registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44, lo que facilita la identificación de la versión. -
Para detectar sistemas potencialmente comprometidos, los administradores
pueden usar el siguiente comando de PowerShell para examinar los detalles de
la cuenta de administrador:
Get-LocalUser -Name Administrator | Select-Object.
Name,Enabled,SID,Lastlogon | Format-List
Mitigaciones
El equipo de seguridad de
Kubernetes ha lanzado la versión v0.1.45 de Image Builder, que soluciona la vulnerabilidad al requerir que los usuarios especifiquen
explícitamente sus contraseñas mediante la variable de entorno
WINDOWS_ADMIN_PASSWORD o la variable JSON
admin_password.
Si no se proporciona ninguna de las dos, el proceso de compilación fallará con
un error, lo que impedirá la creación de imágenes vulnerables.
Para una protección inmediata, las organizaciones pueden cambiar la
contraseña de la cuenta de administrador en las máquinas virtuales
afectadas
mediante el comando net user Administrator <new-password>.
Sin embargo, la solución más completa consiste en reconstruir todas las
imágenes afectadas utilizando la versión corregida v0.1.45 de Image Builder y
volver a implementarlas en los sistemas afectados.
La vulnerabilidad fue descubierta y reportada por los investigadores de
seguridad Abdel Adim Oisfi, Davide Silvetti, Nicolò Daprelà, Paolo Cavaglià y
Pietro Tirenna de Shielder.
Fuente:
CyberPress