Possible exploit variant for CVE-2024-9042 (Kubernetes OS Command Injection), (Wed, Dec 10th)

Nouvelle méthode d’exploitation pour une vulnérabilité Kubernetes potentielle

Une potentielle nouvelle variante d’exploitation visant une vulnérabilité de Kubernetes (CVE-2024-9042), précédemment corrigée, a été observée. Cette vulnérabilité permettait l’injection de commandes système sur des nœuds Windows sous certaines conditions. L’exploit original utilisait le paramètre query de l’endpoint /logs/ pour insérer des commandes encapsulées dans $(oscommand).

La nouvelle menace, bien que partageant le même endpoint et le même mécanisme d’injection $(oscommand), modifie la manière d’injecter la commande en l’intégrant directement dans l’URL, potentiellement dans un élément de chemin. Il n’est pas encore certain s’il s’agit d’une nouvelle faille ou d’une adaptation de CVE-2024-9042.

Points clés :

• Une vulnérabilité d’injection de commandes système sur Kubernetes (CVE-2024-9042) a été corrigée.
• Une nouvelle méthode d’exploitation est apparue, modifiant la façon dont la commande est injectée dans l’URL.
• Le mécanisme d’injection $(oscommand) reste présent.

Vulnérabilités :

• CVE-2024-9042 : Injection de commandes système via la fonctionnalité NodeLogQuery de Kubernetes. Conditions d’exploitation : Nœud Windows, permissions de lecture de logs, fonctionnalité NodeLogQuery activée.
• Potentielle nouvelle variante non encore officiellement référencée.

Recommandations :

• Maintenir les systèmes Kubernetes à jour avec les derniers correctifs de sécurité.
• Surveiller les journaux du cluster pour détecter les tentatives d’exploitation suspectes, en particulier celles incluant des formats d’injection de commandes.
• Vérifier la configuration de la fonctionnalité NodeLogQuery et la désactiver si elle n’est pas nécessaire.
• Pour les environnements Windows, une vigilance accrue est recommandée.

Source