最近几年针对微服务管理平台Kubernetes而来的攻击行动,不时传出相关事故,这样的情况也使得不少研究人员调查这类系统的弱点,例如:出现在特定组态Azure Kubernetes服务(AKS)的,该漏洞能让任何具有Google帐号的攻击者接管配置不当的Kubernetes丛集。
本月Kubernetes修补映像档建置工具(Image Builder)的漏洞也相当值得留意,因为这些弱点有机会让攻击者取得虚拟机器(VM)的root权限。
【攻击与威胁】
这两项漏洞较为严重的是CVE-2024-9486,主要原因在于:以Proxmox提供者(provider)建置而成的虚拟机器映像,无法停用当中的预设帐号,若用这些映像档建置节点,后续有心人士可透过这些预设帐密进行存取,借此取得root权限,CVSS风险评分达到9.8。
另一个漏洞CVE-2024-9594,则是涉及其他系统平台提供者产生的映像档,这些提供者包含Nutanix、OVA、QEMU,在映像建置过程也会启用预设的帐密组态,而此预设帐密同样可用于取得root权限,但不同的是,在映像档建置完成后,这些帐密就会被停用。该漏洞被评为中度风险,CVSS评为6.3。
究竟这项漏洞发生的原因为何?原因是Authd分配的UID是根据使用者名称产生的纯函数(pure function),再者,则是UID的集合太小,导致无法进行随机分配。这样的情况,使得该元件很可能会遭到利用。
其他漏洞与修补
目前Amazon支援Passkey的部分,主要是在网页版、iOS及Android的购物应用,以及Audible有声书应用系统,其中,行动用户一旦设定了Passkey,它就会成为登入Amazon帐号的预设选项。根据Amazon的统计,以Passkey登入速度比其他方式快6倍,随著愈来愈多用户体验到无密码登入的方便,Passkey采用率每天都在成长。
根据科技新闻网站The Verge的报导,Google正在实验可用来验明正身的蓝勾勾,在搜寻引擎结果中,包括微软、Meta、Epic Games、苹果、Amazon及HP的官网连结旁都出现了蓝勾勾,可用来确认这些网站的身分,并协助使用者过滤网钓网站。
Google也在蓝勾勾显示的旁边提出说明,当中提到此标记的出现,是代表他们判断现在浏览的网站就是代表该企业组织,但无法保证该企业或其产品资料的可信度。Google则向The Verge解释,他们利用网站验证、Merchant Center资料及人工审核等管道,来辨别网站的真伪。不过,目前该服务仅为小规模部署的实验,尚未确定能否会成为正式功能。