Обнаружена критическая уязвимость в инструменте Kubernetes Image Builder, позволяющая злоумышленникам получать права администратора (root) на Windows-узлах кластера. Проблема связана с использованием стандартных учетных данных, встроенных в виртуальные машины, созданные с помощью уязвимых версий Image Builder. Уязвимость получила идентификатор CVE-2025-7342 и оценку CVSS 8.1, что указывает на высокий уровень опасности.
Детали уязвимости
По данным исследователей, уязвимость затрагивает образы виртуальных машин, построенные с использованием провайдеров Nutanix или OVA в Kubernetes Image Builder версий v0.1.44 и ранее. Основная проблема заключается в том, что, если администратор кластера не задает пароль вручную, система по умолчанию оставляет стандартные учетные данные Windows Active Directory, что делает узлы уязвимыми к несанкционированному доступу.
Эксплуатация уязвимости позволяет злоумышленнику с доступом к сети получить контроль над Windows-узлами Kubernetes, повысить привилегии и потенциально скомпрометировать весь кластер. В отличие от Linux-узлов, которые не подвержены данной проблеме, Windows-машины требуют особого внимания, особенно в гибридных средах, где могут использоваться как защищенные, так и уязвимые узлы.
Для проверки наличия уязвимости администраторам рекомендуется проверить версию Kubernetes Image Builder, используемого в их инфраструктуре. Это можно сделать несколькими способами: анализ метаданных сборки, просмотр тега выпуска или проверка версии запущенного контейнера. Если развертывание основано на исходном коде, команда "make version" в локальном репозитории image-builder покажет актуальную версию. В случае контейнерного развертывания достаточно изучить тег образа, например, "registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44".
Для устранения угрозы необходимо пересобрать все уязвимые образы с помощью Image Builder версии v0.1.45 или новее. В этих версиях обязательным условием успешной сборки становится явное указание переменной окружения "WINDOWS_ADMIN_PASSWORD" или параметра "admin_password" в JSON-конфигурации. Если немедленное обновление невозможно, временной мерой может стать ручной сброс пароля администратора на каждой виртуальной машине с использованием встроенных инструментов Windows.
После пересборки и повторного развертывания образов уязвимость устраняется, поскольку система больше не допускает создание виртуальных машин без явно указанного пароля администратора. Однако этот инцидент подчеркивает важность соблюдения базовых принципов безопасности при автоматизированном создании образов. В частности, администраторам Kubernetes следует всегда задавать надежные уникальные пароли, а также внедрять механизмы автоматической проверки безопасности в CI/CD-конвейеры.
Эксперты рекомендуют не только устранить текущую проблему, но и пересмотреть политики управления версиями инструментов сборки. Замораживание версий Image Builder без учета критических обновлений безопасности может привести к серьезным последствиям, особенно если в системе остаются уязвимые конфигурации по умолчанию.
Командам эксплуатации Kubernetes следует провести инвентаризацию образов, обновить Image Builder до последней версии и при необходимости обратиться к специалистам по информационной безопасности для проверки возможных инцидентов. Учитывая высокий уровень риска, связанный с данной уязвимостью, откладывание обновлений может привести к серьезным последствиям, включая полный компрометацию кластера.
В будущем разработчикам Kubernetes Image Builder и других подобных инструментов следует уделять больше внимания безопасной настройке по умолчанию, исключая возможность развертывания компонентов с общеизвестными или легко угадываемыми учетными данными. Администраторам же рекомендуется регулярно проверять свои системы на наличие подобных уязвимостей, внедряя автоматизированные средства мониторинга и реагирования на угрозы.
Ссылки
- https://github.com/kubernetes/kubernetes/issues/133115
- https://www.cve.org/CVERecord?id=CVE-2025-7342
