Исследователи безопасности обнаружили критическую уязвимость в Kubernetes Capsule версий 0.10.3 и старше, которая позволяет аутентифицированным пользователям тенантов внедрять произвольные метки в системные пространства имен. Уязвимость, получившая идентификатор CVE-2025-55205 и оценку по шкале CVSS 9.9 баллов, способна нарушить изоляцию мультитенантных сред и привести к компрометации всего кластера.
Детали уязвимостей
Проблема заключается в логике валидации вебхука пространств имен Capsule, расположенной в файле pkg/webhook/namespace/validation/patch.go. Уязвимость возникает из-за недостаточных проверок условий, которые валидируют принадлежность к тенанту только когда пространство имен уже содержит соответствующую метку. Такой подход создает механизм обхода защиты, при котором системные пространства имен без стандартных меток тенантов становятся уязвимыми к несанкционированному внедрению меток.
Вектор атаки напоминает ранее раскрытую уязвимость CVE-2024-39690, но использует инъекцию меток вместо манипуляции с ownerReference для достижения аналогичных разрушительных эффектов. Аутентифицированные пользователи тенантов могут использовать эту слабость для внедрения вредоносных меток в критически важные системные пространства имен, включая kube-system, default и capsule-system, что фактически позволяет захватить эти защищенные среды.
Эксплуатация уязвимости позволяет проводить многоэтапную атаку, при которой злоумышленники сначала внедряют произвольные метки в незащищенные системные пространства имен, а затем используют селекторы TenantResource для получения несанкционированного доступа к ресурсам других тенантов. Этот путь эксплуатации позволяет нарушать ограничения квот, обходить сетевые политики и потенциально получать доступ к конфигурациям и секретам всего кластера.
Исследователи безопасности продемонстрировали атаку с использованием доказательства концепции, которое успешно внедряло метки в пространство имен kube-system с последующим созданием вредоносных объектов TenantResource для эксплуатации скомпрометированной системы маркировки. Атака требует только базовых разрешений RBAC и может быть выполнена любым аутентифицированным пользователем тенанта с правами на изменение пространств имен.
Уязвимость представляет серьезные риски для мультитенантных сред Kubernetes, особенно затрагивая провайдеров облачных услуг и организации, использующие Capsule для изоляции тенантов. Возможность повышения привилегий, эксфильтрации данных и обхода квот ресурсов делает эту проблему высокоприоритетной для немедленного решения.
Организации, использующие Kubernetes Capsule, должны немедленно обновиться до версии 0.10.4, чтобы устранить эту критическую уязвимость. Серьезность этой проблемы в сочетании с ее потенциалом для компрометации всего кластера подчеркивает важность надежных механизмов валидации в архитектурах безопасности мультитенантных сред.
Командам безопасности рекомендуется проверить текущие развертывания Capsule и внедрить соответствующий мониторинг для обнаружения потенциальных попыток эксплуатации. Своевременное обновление и тщательный контроль за состоянием кластера являются критически важными мерами для предотвращения возможных инцидентов безопасности в мультитенантных средах Kubernetes.
Ссылки
- https://github.com/projectcapsule/capsule/security/advisories/GHSA-fcpm-6mxq-m5vv
- https://nvd.nist.gov/vuln/detail/CVE-2025-55205
- https://www.cve.org/CVERecord?id=CVE-2025-55205
- https://github.com/projectcapsule/capsule/commit/e1f47feade6e1695b2204407607d07c3b3994f6e
