Severity: High

CVSS v3 Score: 8.0

Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Mô tả:

Phòng SOC thông báo về lỗ hổng vượt qua xác thực, định danh CVE-2023-1260 tồn tại trong component kube-apiserver của nền tảng Red Hat OpenShift Container Platform.

Cụ thể, lỗ hổng được cho biết tìm thấy trong module “securitycontextconstraints” của repo “apiserver-library-go”, hiện vẫn chưa có bản vá lỗi chính thức.

Lỗ hổng có thể cho phép kẻ tấn công leo thang đặc quyền với các điều kiện sau:

User được attacker sử dụng đã có quyền “update, patch” trên "pods/ephemeralcontainers" subresource (mặc định thì user, service account không có các quyền này).
Tiếp theo user này có thể patch một pod đang chạy và bypass SCC admission, hay có thể tạo một “privileged” container để nắm quyền truy cập vào tài nguyên của node.

Sản phẩm bị ảnh hưởng:

OpenShift Container Platform versions từ 4.10 và mới hơn.

component: kube-apiserver (và các nền tảng sử dụng kube-apiserver)

Cách khắc phục

Bản vá cho lỗ hổng này hiện chưa có và các biện pháp khắc phục tạm thời cũng chưa đáp ứng các tiêu chí bảo mật của Red Hat (bao gồm tính dễ sử dụng và triển khai, khả năng áp dụng rộng rãi hoặc tính ổn định).

Tạm thời, sysadmin có thể review lại danh sách các user đang giữ các quyền “update, patch” với "pods/ephemeralcontainers" subresource và gỡ quyền khỏi các user đó.

Thông tin chi tiết, tham khảo thêm tại:

https://bugzilla.redhat.com/show_bug.cgi?id=2176267