Asayomu Tech
注目github_advisory2

Fission の Environment CRD に権限昇格脆弱性、クラスタ全体を掌握可能

30秒で把握

  • 1Fission の Environment CRD に PodSpec インジェクション脆弱性、テナント権限で node escape 実現可能
  • 2kubectl patch で hostPID / hostPath を挿入、クラスタ CA 秘密鍵から kubelet 証明書署名によるクラスタ全体掌握が可能
  • 3環境運用チームは即座に RBAC 制限と #3391 パッチ適用を実施

要約

Fission の Environment Custom Resource Definition (CRD) に PodSpec インジェクション脆弱性が存在し、テナント権限ユーザが kubectl patch で危険なフィールド (hostPID / hostIPC / hostNetwork / hostPath) を挿入可能だ。MergePodSpec が検証なしにこれらを生成 Pod に伝播させるため、特権コンテナとしてホストルートマウントを持つ Pod がスケジュール可能になる。攻撃者はそこからクラスタ CA 秘密鍵を読み取り、kubelet 証明書に署名して全クラスタを掌握できる。Environment の create/update 権限が node escape および完全なクラスタ乗っ取りに昇格する。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。