【安全资讯】Kubernetes Image Builder关键漏洞导致虚拟机SSH根访问

概要：

Kubernetes平台的一个关键漏洞可能导致未经授权的SSH访问，影响使用Kubernetes Image Builder创建的虚拟机。此漏洞的存在使得攻击者能够利用默认凭据获取根权限，给用户和企业带来严重的安全隐患。

主要内容：

Kubernetes是一个开源平台，旨在自动化虚拟容器的部署和管理。Kubernetes Image Builder允许用户为不同的Cluster API提供者（如Proxmox和Nutanix）创建虚拟机镜像。根据Kubernetes社区论坛的安全公告，影响的版本为Image Builder 0.1.37及之前版本，漏洞编号为CVE-2024-9486。

该漏洞的根本原因在于在镜像构建过程中启用了默认凭据，而在构建完成后并未禁用。这使得攻击者只需通过SSH连接，便可利用这些凭据获得对虚拟机的根访问权限。为解决此问题，建议用户使用Kubernetes Image Builder版本0.1.38或更高版本重新构建受影响的虚拟机镜像，该版本在构建过程中会设置随机生成的密码，并在完成后禁用默认的“builder”账户。

此外，公告还指出，使用Nutanix、OVA、QEMU或原始提供者构建的镜像也存在类似问题，漏洞编号为CVE-2024-9594，尽管其严重性较低。该漏洞仅在构建过程中可被利用，攻击者需首先获得对镜像创建虚拟机的访问权限，才能使默认凭据持续存在，从而允许未来的访问。相关的修复和缓解建议同样适用于CVE-2024-9594。