Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Uso de credenciales por defecto en Kubernetes

Fecha18/10/2024
Importancia5 - Crítica
Recursos Afectados
  • Kubernetes Image Builder, versiones 0.1.37 y anteriores;
  • imágenes de máquinas virtuales creadas con la versión vulnerable de Kubernetes Image Builder.
Descripción

Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, donde se habilitan las credenciales por defecto durante el proceso de creación de la imagen, lo que podría permitir obtener privilegios de root.

Solución

Actualizar Kubernetes Image Builder a las versiones 0.1.38 o posteriores.

Detalle

Un usuario no autorizado podría ser capaz de realizar una conexión SSH a un nodo de una máquina virtual que utiliza una imagen construida con el proyecto Kubernetes Image Builder, haciendo uso del entorno de virualización Proxmox como proveedor. Se ha asignado el identificador CVE-2024-9486 para esta vulnerabilidad.