One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8334409 |
| Date de publication | 2023-05-08 18:15:14 (vue: 2023-05-08 21:08:18) |
| Titre | CVE-2023-30840 |
| Texte | Le fluide est un orchestrateur de données et accélérateur de données distribué natifs de Kubernetes open source pour les applications à forte intensité de données.À partir de la version 0.7.0 et avant la version 0.8.6, si un utilisateur malveillant prend le contrôle d'un nœud Kubernetes exécutant un pod CSI fluidCompte de service CSI pour modifier les spécifications de tous les nœuds du cluster.Cependant, comme ce compte de service n'a pas de permis de «nœud», l'attaquant peut avoir besoin d'utiliser d'autres techniques pour identifier les nœuds vulnérables.
Une fois que l'attaquant identifie et modifie les spécifications du nœud, ils peuvent manipuler des composants privilégiés au niveau du système pour accéder à tous les secrets du cluster ou exécuter des pods sur d'autres nœuds.Cela leur permet d'élever les privilèges au-delà du nœud compromis et d'obtenir potentiellement un accès privilégié complet à l'ensemble du cluster.
Pour exploiter cette vulnérabilité, l'attaquant peut rendre tous les autres nœuds inspices (par exemple, nœud de correctif avec Tainnts) et attendre les composants critiques avec un privilège élevé à apparaître sur le nœud compromis.Cependant, cette attaque nécessite deux conditions préalables: un nœud compromis et l'identification de tous les nœuds vulnérables par d'autres moyens.
La version 0.8.6 contient un correctif pour ce problème.En tant que solution de contournement, supprimez le Daemonset `CSI-NodePlugin-Fluid` dans l'espace de noms` fluide-system` et évitez d'utiliser le mode CSI pour monter des systèmes de fichiers de fusibles.Alternativement, l'utilisation du mode Sidecar pour monter des systèmes de fichiers de fusible est recommandé.
Fluid is an open source Kubernetes-native distributed dataset orchestrator and accelerator for data-intensive applications. Starting in version 0.7.0 and prior to version 0.8.6, if a malicious user gains control of a Kubernetes node running fluid csi pod (controlled by the `csi-nodeplugin-fluid` node-daemonset), they can leverage the fluid-csi service account to modify specs of all the nodes in the cluster. However, since this service account lacks `list node` permissions, the attacker may need to use other techniques to identify vulnerable nodes. Once the attacker identifies and modifies the node specs, they can manipulate system-level-privileged components to access all secrets in the cluster or execute pods on other nodes. This allows them to elevate privileges beyond the compromised node and potentially gain full privileged access to the whole cluster. To exploit this vulnerability, the attacker can make all other nodes unschedulable (for example, patch node with taints) and wait for system-critical components with high privilege to appear on the compromised node. However, this attack requires two prerequisites: a compromised node and identifying all vulnerable nodes through other means. Version 0.8.6 contains a patch for this issue. As a workaround, delete the `csi-nodeplugin-fluid` daemonset in `fluid-system` namespace and avoid using CSI mode to mount FUSE file systems. Alternatively, using sidecar mode to mount FUSE file systems is recommended. |
| Envoyé | Oui |
| Condensat | 2023 30840 `csi `fluid `list accelerator access account all allows alternatively appear applications attack attacker avoid beyond can cluster components compromised contains control controlled critical csi cve daemonset data dataset delete distributed elevate example execute exploit file fluid fluid` full fuse gain gains high however identifies identify identifying intensive issue kubernetes lacks level leverage make malicious manipulate may means mode modifies modify mount namespace native need node node` nodeplugin nodes once open orchestrator other patch permissions pod pods potentially prerequisites: prior privilege privileged privileges recommended requires running secrets service sidecar since source specs starting system system` systems taints techniques them through two unschedulable use user using version vulnerability vulnerable wait whole workaround |
| Tags | |
| Stories | Uber |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.