Se ha revelado una vulnerabilidad crítica en el Generador de Imágenes de Kubernetes que permite a los atacantes obtener acceso root a nodos de Windows mediante el uso de credenciales predeterminadas e integradas en imágenes de máquinas virtuales.
vulnerabilidad, designada CVE-2025-7342 (CVSS 8.1), afecta a imágenes de máquinas virtuales creadas con proveedores específicos y ha requerido la intervención inmediata del equipo de seguridad de Kubernetes. La falla afecta a imágenes creadas con proveedores Nutanix u OVA en las versiones v0.1.44 y anteriores del Kubernetes Image Builder.
La vulnerabilidad se debe a las credenciales predeterminadas que permanecen habilitadas durante el proceso de creación de imágenes al utilizar los proveedores Nutanix u OVA de Kubernetes Image Builder para Windows. Estas credenciales predeterminadas no se deshabilitan correctamente en las imágenes de máquina virtual resultantes, lo que podría permitir a los atacantes obtener acceso root no autorizado a los sistemas afectados.
Cabe destacar que las máquinas virtuales creadas con otros proveedores dentro del ecosistema de Image Builder no se ven afectadas por esta vulnerabilidad.
La gravedad de este problema es crucial, ya que una explotación exitosa podría otorgar a los atacantes control administrativo completo sobre los nodos de Windows afectados. Este nivel de acceso podría comprometer las operaciones completas del clúster de Kubernetes, lo que lo convierte en una preocupación crítica para las organizaciones que ejecutan cargas de trabajo de Windows en sus entornos de Kubernetes.
Las organizaciones pueden determinar su exposición a esta vulnerabilidad mediante varios métodos de identificación:
-
Para los usuarios que trabajan con clones GIT del repositorio del generador
de imágenes, ejecutar
"make version"en la ruta del repositorio local revelará la versión actual. Quienes utilicen instalaciones tarball pueden ejecutargrep -o v0\\.[0-9.]* RELEASE.md | head -1para extraer la información de la versión. -
Los usuarios de imágenes de contenedor pueden verificar su versión
ejecutando
docker run --rm <image pull spec> versiono examinando directamente la etiqueta de la imagen. -
Las imágenes oficiales siguen la convención de nomenclatura
registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44, lo que facilita la identificación de la versión. -
Para detectar sistemas potencialmente comprometidos, los administradores
pueden usar el siguiente comando de PowerShell para examinar los detalles de
la cuenta de administrador:
Get-LocalUser -Name Administrator | Select-Object Name,Enabled,SID,Lastlogon | Format-List.
Mitigaciones
El equipo de seguridad de
Kubernetes ha lanzado la versión v0.1.45 de Image Builder, que soluciona la vulnerabilidad al requerir que los usuarios especifiquen
explícitamente sus contraseñas mediante la variable de entorno
WINDOWS_ADMIN_PASSWORD o la variable JSON
admin_password.
Si no se proporciona ninguna de las dos, el proceso de compilación fallará con un error, lo que impedirá la creación de imágenes vulnerables.
Para una protección inmediata, las organizaciones pueden cambiar la
contraseña de la cuenta de administrador en las máquinas virtuales
afectadas
mediante el comando net user Administrator <new-password>.
Sin embargo, la solución más completa consiste en reconstruir todas las imágenes afectadas utilizando la versión corregida v0.1.45 de Image Builder y volver a implementarlas en los sistemas afectados.
La vulnerabilidad fue descubierta y reportada por los investigadores de seguridad Abdel Adim Oisfi, Davide Silvetti, Nicolò Daprelà, Paolo Cavaglià y Pietro Tirenna de Shielder.
Fuente: CyberPress