セキュリティ

SECURITY

公開：2024-11-13

【CVE-2024-9486】Kubernetes Image Builder v0.1.37以前にデフォルト認証情報の脆弱性、root権限取得のリスクで緊急アップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Image Builder v0.1.37以前にデフォルト認証情報の脆弱性
• Proxmoxプロバイダーで作成したVMイメージに影響
• root権限取得のリスクあり、v0.1.38で修正

Kubernetes Image Builderの重大な脆弱性が発覚

2024年10月15日、Kubernetesは Image Builder v0.1.37以前のバージョンにデフォルト認証情報が有効化される重大な脆弱性【CVE-2024-9486】を公開した。Proxmoxプロバイダーを使用して構築されたVMイメージにおいて、デフォルトの認証情報が無効化されずノードへのアクセスが可能となる深刻な問題が確認されている。^[1]

この脆弱性は、CVSS v3.1で最高レベルのスコア9.8（CRITICAL）と評価されており、ネットワークからのアクセスが可能で攻撃の複雑さも低いことが指摘されている。攻撃者は特別な権限や利用者の操作を必要とせずにシステムへのアクセスを実行できる状況であり、機密性と完全性、可用性すべてに重大な影響を及ぼす可能性が高いだろう。

この問題の影響を受けるのは、Image Builderプロジェクトのproxmoxプロバイダーを使用してVMイメージを作成したKubernetesクラスターのノードに限定されている。Image Builder v0.1.38では本脆弱性が修正され、デフォルトの認証情報が適切に無効化されるようになった。

Kubernetes Image Builder脆弱性の詳細まとめ

デフォルト認証情報について

デフォルト認証情報とは、システムやアプリケーションに初期設定として組み込まれているユーザー名とパスワードの組み合わせのことを指す。主な特徴として以下のような点が挙げられる。

• 初期設定時に自動的に設定される認証情報
• 製品やサービス間で共通して使用される可能性が高い
• セキュリティ上のリスクとなりやすい重要な要素

Kubernetes Image Builderの事例では、Proxmoxプロバイダーを使用したVMイメージ作成時にデフォルト認証情報が無効化されずに残存する問題が発生した。この認証情報を使用することでroot権限でのアクセスが可能となり、システム全体のセキュリティが脅かされる重大な脆弱性となっている。

Kubernetes Image Builderの脆弱性に関する考察

Image Builderの脆弱性は、クラウドネイティブ環境におけるイメージ管理の重要性を再認識させる重大な問題となった。特にProxmoxプロバイダーを使用したVMイメージ作成プロセスにおいて、セキュリティ設定の自動化が適切に機能していないことが明らかになり、コンテナ基盤のセキュリティ管理における新たな課題が浮き彫りとなっている。

この問題に対する解決策として、イメージビルドプロセスの自動テストの強化やセキュリティスキャンの導入が有効だろう。また、プロバイダー固有の設定に関するセキュリティチェックリストの整備や、ビルドパイプラインへのセキュリティテストの組み込みなど、より包括的なアプローチが必要となるはずだ。

今後はImage Builder以外のコンテナ関連ツールにおいても、同様の脆弱性が存在する可能性を考慮したセキュリティ対策が求められる。特にマルチクラウド環境での運用を想定した場合、各クラウドプロバイダーの特性を考慮したセキュリティベストプラクティスの確立と、それを自動的に適用できる仕組みの構築が重要となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-9486, (参照 24-11-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧