Обнаружена критическая уязвимость в компоненте kcp для Kubernetes: обход авторизации угрожает кластерам

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, получившая идентификатор BDU:2026-00110. Данная уязвимость затрагивает программный компонент kcp, который является ключевой частью экосистемы Kubernetes для управления несколькими кластерами. Уязвимость связана с ошибкой в процедуре авторизации (CWE-285). Соответственно, злоумышленник, имеющий первоначальный доступ к системе, может удалённо обойти механизмы контроля доступа. Эксперты оценивают угрозу как критическую.

Детали уязвимости

Уязвимость существует в версиях kcp до 0.26.3. Напомним, что kcp (Kubernetes Control Plane) - это проект, позволяющий создавать и управлять виртуальными Kubernetes-кластерами поверх физических. Таким образом, эта проблема затрагивает инфраструктуры, использующие данное решение для многокластерного администрирования. Производитель, сообщество свободного программного обеспечения, уже подтвердил наличие дефекта и выпустил исправления.

С точки зрения методики оценки CVSS, уязвимость получила высокие баллы. Базовая оценка по версии CVSS 2.0 составляет 8.5, что соответствует высокому уровню опасности. Однако более современная оценка по CVSS 3.1 достигает критического значения 9.6. Вектор атаки описывается как сетевой (AV:N), не требующий сложных условий эксплуатации (AC:L). Для успешной атаки злоумышленнику необходимы привилегии обычного пользователя (PR:L), но дальнейшее воздействие является масштабным.

Главная опасность заключается в потенциальных последствиях. Успешная эксплуатация позволяет нарушителю получить полный контроль над конфиденциальностью (C:H) и целостностью (I:H) данных в рамках всей системы (S:C). Фактически, атакующий может читать, изменять или удалять критически важную информацию в рамках скомпрометированного виртуального кластера. При этом доступность системы (A:N) напрямую не нарушается, что может отсрочить обнаружение инцидента.

Способ эксплуатации классифицируется как нарушение авторизации. Иными словами, в компоненте kcp присутствовала логическая ошибка, позволяющая пользователю выполнять действия, выходящие за рамки его разрешений. Это типичный пример уязвимости контроля доступа. Хотя наличие готового эксплойта на данный момент уточняется, публикация деталей в репозитории GitHub повышает вероятность его скорого появления. Следовательно, окно для устранения угрозы может быть недолгим.

Единственным надёжным способом устранения уязвимости является обновление программного обеспечения. Разработчики устранили проблему в версии kcp 0.26.3. Соответственно, всем организациям, использующим уязвимые версии, необходимо немедленно обновить свои системы.

Данной уязвимости также присвоен международный идентификатор CVE-2025-29922. Это упрощает её отслеживание в глобальных базах уязвимостей и системах безопасности. Важно отметить, что статус уязвимости в BDU указан как "устранена". Однако это означает лишь, что производитель выпустил исправление, но не то, что все пользователи его применили.

Для команд, отвечающих за безопасность (SOC), и администраторов Kubernetes данная новость служит серьёзным сигналом к действию. Во-первых, необходимо провести инвентаризацию и выявить все экземпляры kcp в инфраструктуре. Во-вторых, нужно спланировать и провести их обновление до защищённой версии в кратчайшие сроки. В-третьих, рекомендуется усилить мониторинг событий безопасности в соответствующих кластерах на предмет аномальной активности, связанной с попытками несанкционированного доступа.

В заключение, уязвимость BDU:2026-00110 в kcp является наглядным примером критических рисков, связанных с ошибками контроля доступа в сложных распределённых системах. Хотя исправление уже доступно, реальная безопасность зависит от оперативности его внедрения конечными пользователями. Игнорирование подобных предупреждений может привести к полной компрометации многокластерных сред Kubernetes и утечке конфиденциальных данных.

Детали уязвимости

Ссылки