Компания Red Hat объявила об обнаружении и устранении серьёзной уязвимости в платформе OpenShift GitOps. Данная проблема, получившая идентификатор CVE-2025-13888, позволяет администраторам пространств имён (namespace) повысить свои привилегии и потенциально получить полный root-доступ ко всему кластеру Kubernetes. По шкале CVSS v3.1 уязвимости присвоен критический балл 9.1, однако сам вендор оценивает её серьёзность как "Важную". Несмотря на это, техническое воздействие является крайне серьёзным для сред, где администраторам пространств имён не доверяют полностью.
Детали уязвимости
Проблема коренится в механизме обработки разрешений для пользовательских ресурсов ArgoCD (Custom Resources) в OpenShift GitOps. В стандартной конфигурации администратор пространства имён имеет право управлять ресурсами только в пределах своего назначенного пространства. Однако обнаруженная уязвимость позволяет злоумышленнику, уже обладающему такими правами, создать специальные пользовательские ресурсы. Эти ресурсы вводят систему в заблуждение, заставляя её предоставить атакующему повышенные разрешения в других пространствах имён.
В результате злоумышленник получает возможность развертывать привилегированные рабочие нагрузки, которые могут выполняться на узлах контроллера. Следовательно, это фактически предоставляет ему root-доступ ко всему кластеру. Обладая такими правами, атакующий может обходить средства безопасности, получать доступ к конфиденциальным данным или нарушать работу всей системы. Важно подчеркнуть, что вектор атаки классифицируется как сетевой, однако для эксплуатации уязвимости злоумышленник уже должен обладать действительными учетными данными администратора пространства имён. Это существенно сужает круг потенциальных угроз, делая её актуальной в первую очередь для инсайдерских атак или случаев компрометации учётных записей администраторов, а не для внешних неаутентифицированных злоумышленников.
Корпорация Red Hat уже выпустила обновления безопасности, устраняющие данную уязвимость во всех поддерживаемых версиях OpenShift GitOps. Исправление обеспечивает корректную проверку системой разрешений при создании ресурсов ArgoCD, блокируя путь для повышения привилегий. Специалисты настоятельно рекомендуют организациям, использующим OpenShift GitOps версий 1.16, 1.17 или 1.18, немедленно установить доступные патчи. Промедление с обновлением оставляет инфраструктуру под значительным риском.
Параллельно с применением обновлений командам безопасности следует провести аудит конфигураций своих кластеров и тщательно пересмотреть список пользователей, обладающих правами администратора пространства имён. Поскольку эксплуатация уязвимости напрямую зависит от злоупотребления уже имеющимися правами, строгое ограничение и мониторинг административного доступа остаётся критически важным уровнем защиты. Регулярный пересмотр принципа наименьших привилегий (principle of least privilege) для всех учётных записей и активное использование систем мониторинга (например, SOC - Security Operations Center) для отслеживания подозрительных действий администраторов являются ключевыми практиками для смягчения подобных рисков. Таким образом, защита от угроз, подобных CVE-2025-13888, требует комплексного подхода, сочетающего своевременное обновление ПО, строгий контроль доступа и постоянную бдительность.
Ссылки
- https://access.redhat.com/security/cve/cve-2025-13888
- https://www.cve.org/CVERecord?id=CVE-2025-13888
- https://bugzilla.redhat.com/show_bug.cgi?id=2418361
