Критическая уязвимость в системе управления контейнерами SUSE Rancher Manager предоставляет злоумышленникам с повышенными привилегиями возможность блокировать административные учетные записи, что может полностью парализовать работу кластеров Kubernetes. Обнаруженная брешь безопасности, получившая идентификатор CVE-2024-58260, имеет высокий уровень опасности с оценкой 7.1 по шкале CVSS.
Детали уязвимости
Проблема безопасности возникает из-за отсутствия проверки вводимых данных на стороне сервера для поля имени пользователя в Rancher Manager. Это упущение позволяет пользователям с правами обновления ресурсов User манипулировать именами пользователей таким образом, что становится возможным запретить доступ к сервису для целевых учетных записей, включая критически важную учетную запись администратора.
Эксперты выделяют два основных вектора атаки. При атаках захвата имени пользователя злонамеренные пользователи могут установить имя другого пользователя как "admin", что предотвращает вход в систему как законного администратора, так и затронутого пользователя из-за механизма обеспечения уникальности имен при входе в Rancher. Дополнительно атаки блокировки учетной записи позволяют пользователям с правами обновления административных учетных записей изменять имя пользователя администратора, эффективно блокируя весь административный доступ к пользовательскому интерфейсу Rancher.
Эти сценарии атак соответствуют технике удаления доступа к учетным записям (Account Access Removal) в рамках MITRE ATT&CK, где противники нарушают доступность системных и сетевых ресурсов, препятствуя доступу к учетным записям, используемым законными пользователями.
Уязвимость затрагивает организации, использующие уязвимые версии Rancher Manager в нескольких ветках выпуска. Для эксплуатации бреши требуются высокие привилегии, поскольку злоумышленники уже должны обладать правами обновления ресурсов User. Однако после успешной эксплуатации последствия могут быть серьезными, полностью нарушая возможности администрирования платформы и аутентификации пользователей.
Компания SUSE выпустила исправленные версии программного обеспечения: 2.12.2, 2.11.6, 2.10.10 и 2.9.12. Организациям рекомендуется немедленно обновить свои системы до защищенных версий. Для сред, где немедленное исправление невозможно, администраторам следует строго ограничить права обновления пользовательских ресурсов только доверенным пользователям.
Раскрытие информации об уязвимости было опубликовано исследователем безопасности Samjustus через консультативный сервис GitHub Security Advisory GHSA-q82v-h4rq-5c86, что подчеркивает важность правильной проверки вводимых данных в корпоративных платформах управления контейнерами. Данный инцидент служит напоминанием о необходимости тщательного контроля прав доступа и регулярного обновления систем управления в современных ИТ-инфраструктурах, где Kubernetes играет ключевую роль в организации контейнерных сред.
