CRITICAL✓ PATCH🇬🇧 English

CVE-2024-21376

RCE w Microsoft Azure Kubernetes Service Confidential Containers

CVSS 9.0v3.1pub. 2024-02-13upd. 2024-11-21

Podatność umożliwia zdalne wykonanie kodu (RCE) w komponencie Confidential Containers usługi Microsoft Azure Kubernetes Service (AKS). Ze względu na krytyczny poziom CVSS 9.0 i sieciowy wektor ataku bez wymagania uwierzytelnienia, stanowi poważne zagrożenie dla środowisk kontenerowych w chmurze Azure.

Pokaż oryginał (EN)

Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability

🤖 Analiza AI
Jak działa

Podatność dotyczy komponentu Confidential Containers w Azure Kubernetes Service i pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu poprzez sieć (AV:N). Atak wymaga wysokiej złożoności (AC:H), jednak nie wymaga żadnych uprawnień ani interakcji użytkownika. Udany exploit prowadzi do naruszenia bezpieczeństwa poza granicami kontenera (scope changed — S:C), co wskazuje na możliwość ucieczki z izolowanego środowiska kontenerowego.

Skutki

Atakujący może zdalnie wykonać dowolny kod w kontekście Confidential Containers, potencjalnie przejmując kontrolę nad izolowanym środowiskiem i uzyskując dostęp do poufnych danych, a także wpływając na integralność i dostępność systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja opisana w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21376. Zaleca się monitorowanie środowisk AKS z włączoną funkcją Confidential Containers oraz ograniczenie ekspozycji sieciowej klastrów.

Kogo dotyczy

Microsoft Azure Kubernetes Service — komponent Confidential Containers; szczegółowe wersje wskazane w referencjach producenta (MSRC).

Uwagi

Data publikacji: 2024-02-13 (Patch Tuesday, luty 2024). Wektor CVSS wskazuje na scope change (S:C), co sugeruje możliwość container escape — wydostania się poza granice izolowanego kontenera.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Kubernetes Service

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2026-33105CRITICAL10.0PL ✓ten sam produkt

Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień

CVE-2024-21403CRITICAL9.0PL ✓ten sam produkt

Privilege escalation w Azure Kubernetes Service Confidential Containers

CVE-2023-29332HIGH7.5ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVE-2021-27075MEDIUM6.8ten sam produkt

Azure Virtual Machine Information Disclosure Vulnerability

CVE-2021-24109MEDIUM6.8ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVE-2024-21376 — RCE w Microsoft Azure Kubernetes Service Confidential Containers — CRITICAL 9.0 | CVEbaza.pl