В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая несколько провайдерских расширений для популярного платформенного решения Gardener. Речь идёт об ошибке с идентификатором BDU:2026-00668, которая также получила идентификатор CVE-2025-59823. Данная уязвимость классифицируется как критическая, поскольку её эксплуатация позволяет удалённому злоумышленнику выполнить произвольный код в уязвимой системе.
Детали уязвимости
Уязвимость затрагивает контроллеры расширений Gardener для основных публичных облаков. В частности, под удар попадают следующие компоненты: Gardener-extension-provider-aws версий ранее 1.64.0, Gardener-extension-provider-azure версий ранее 1.55.0, а также Gardener-extension-provider-gcp версий ранее 1.46.0 и 1.49.0. Gardener - это проект с открытым исходным кодом, который упрощает управление тысячами кластеров Kubernetes как единым целым, выступая платформой для платформы. Его расширения отвечают за интеграцию с инфраструктурой конкретного облачного провайдера, например, за создание виртуальных машин или сетевых правил.
Техническая суть проблемы заключается в некорректном управлении генерацией кода, что относится к классу уязвимостей внедрения кода (CWE-94). Проще говоря, в процессе работы контроллера существует возможность манипулировать входными данными таким образом, чтобы заставить систему выполнить произвольные, потенциально вредоносные команды. Это классическая инъекционная атака, которая в данном контексте может привести к полному компрометированию функционала расширения.
Уровень угрозы подтверждается высокими оценками по шкале CVSS. Базовая оценка CVSS 2.0 составляет 9.0, что соответствует высокому уровню опасности. При этом более современная оценка CVSS 3.1 достигает критического значения 9.9. Вектор атаки оценивается как сетевой (AV:N), не требующий высоких привилегий для эксплуатации (PR:L) и не нуждающийся во взаимодействии с пользователем (UI:N). Наиболее серьёзным аспектом является влияние на конфиденциальность, целостность и доступность системы (C:H/I:H/A:H), а также возможность воздействия на смежные компоненты (S:C).
Эксплуатация данной уязвимости предоставляет злоумышленнику, уже имеющему доступ к кластеру с правами аутентифицированного пользователя, возможность выйти за рамки стандартных разрешений. В результате он может выполнить произвольный код в контексте работы контроллера расширения. Это открывает путь для кражи чувствительных данных, саботирования работы кластера, установки скрытого вредоносного функционала (persistence) или перемещения по облачной инфраструктуре. Теоретически, такая брешь может быть использована для развёртывания программ-вымогателей (ransomware) или иного деструктивного вредоносного ПО внутри управляемой среды.
Важно отметить, что на момент публикации новости наличие работающего эксплойта в открытом доступе не подтверждено. Однако критический рейтинг и чётко описанный вектор атаки делают эту уязвимость крайне привлекательной для исследователей и потенциальных злоумышленников. Следовательно, окно для оперативного обновления может быть очень коротким.
Производитель, сообщество Gardener, уже подтвердил наличие проблемы и оперативно выпустил исправленные версии расширений. Уязвимость была устранена. Администраторам, использующим Gardener для управления своими Kubernetes-кластерами в AWS, Azure или Google Cloud Platform, необходимо срочно предпринять действия по обновлению.
Мера по устранению однозначна - необходимо обновить уязвимые расширения до безопасных версий. Для Gardener-extension-provider-aws требуется версия 1.64.0 или выше. Для Gardener-extension-provider-azure необходимо установить версию 1.55.0. Пользователям Gardener-extension-provider-gcp следует перейти на версию 1.46.0, а для расширения под OpenStack актуальной является версия 1.49.0. Все ссылки на официальные страницы релизов и security advisory приведены в записи BDU.
Таким образом, данная ситуация служит очередным напоминанием о критической важности своевременного управления обновлениями в сложных облачных и платформенных средах. Уязвимости в инфраструктурных компонентах, таких как контроллеры расширений, несут повышенные риски из-за их широкого охвата и высокого уровня доверия в системе. Специалистам по кибербезопасности и DevOps-инженерам рекомендуется немедленно проверить свои развёртывания Gardener на предмет использования уязвимых версий и применить патчи в рамках ближайшего окна обслуживания. Постоянный мониторинг источников, таких как BDU и репозитории проектов с открытым исходным кодом, остаётся ключевой практикой для обеспечения безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-00668
- https://www.cve.org/CVERecord?id=CVE-2025-59823
- https://github.com/gardener/gardener-extension-provider-aws/security/advisories/GHSA-227x-7mh8-3cf6
- https://github.com/gardener/gardener-extension-provider-aws/releases/tag/v1.64.0
- https://github.com/gardener/gardener-extension-provider-azure/releases/tag/v1.55.0
- https://github.com/gardener/gardener-extension-provider-gcp/releases/tag/v1.46.0
- https://github.com/gardener/gardener-extension-provider-openstack/releases/tag/v1.49.0
