セキュリティ

SECURITY

公開：2024-11-09

【CVE-2024-48921】Kyvernoに深刻な脆弱性、ClusterPolicyが任意のnamespaceで無効化可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Kyvernoに深刻なセキュリティ脆弱性が発見
• 任意のnamespaceでPolicyExceptionを作成可能
• Kyverno 1.13.0で修正が実施

Kyvernoのセキュリティ脆弱性により管理者権限が無効化

KubernetesのポリシーエンジンであるKyvernoにおいて、ClusterPolicyを任意のnamespaceで無効化できる深刻な脆弱性が2024年10月29日に公開された。脆弱性の内容によると、non-kyvernoのnamespaceに対する権限を持つユーザーが、PolicyExceptionを作成することでClusterPolicyを無効化できることが判明している。^[1]

この脆弱性は【CVE-2024-48921】として識別されており、CVSSスコアは8.7と高い深刻度が付与されている。攻撃の複雑さは低く特権も不要であることから、容易に攻撃が可能であることが懸念されるだろう。

Kyvernoの開発チームは直ちに対応を行い、バージョン1.13.0でこの脆弱性を修正した。修正されたバージョンでは、PolicyExceptionの作成権限が適切に制限され、意図しない無効化を防止する機能が実装されている。

Kyvernoの脆弱性情報まとめ

PolicyExceptionについて

PolicyExceptionとは、Kubernetes環境においてポリシールールの例外を定義する機能であり、特定の状況下でポリシーを一時的に無効化することができる。主な特徴として、以下のような点が挙げられる。

• ポリシールールの柔軟な例外設定が可能
• namespace単位での適用制御に対応
• 一時的な無効化による運用の柔軟性を提供

Kyvernoの脆弱性では、PolicyExceptionオブジェクトがデフォルトで任意のnamespaceで作成可能な状態となっていた。管理者が意図しないnamespaceでPolicyExceptionが作成され、重要なセキュリティポリシーが無効化される危険性があったのだ。

Kyvernoのセキュリティ脆弱性に関する考察

今回の脆弱性は、Kubernetes環境におけるセキュリティポリシーの設計と実装の難しさを浮き彫りにしたといえる。特にマルチテナント環境では、異なるnamespace間の権限分離が重要であり、PolicyExceptionのようなポリシー制御機能の実装には慎重な設計が必要になるだろう。

将来的には、PolicyExceptionの作成権限をより細かく制御できる機能や、例外設定の監査ログ機能の強化が望まれる。Kubernetes環境の複雑化に伴い、ポリシー管理の重要性は更に高まっていくことが予想されるため、セキュリティと利便性のバランスを考慮した機能拡張が期待される。

また、KyvernoのようなセキュリティツールにおいてはPolicyExceptionの乱用を防ぐための仕組みも重要となる。例外設定の有効期限や承認フローの導入など、より厳密な管理機能の実装によってセキュリティレベルの向上が図れるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-48921, (参照 24-11-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧