Podatność w Microsoft Azure Kubernetes Service (AKS) umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień w środowisku Confidential Containers. Wysoki wynik CVSS (9.0) oraz wpływ na poufność, integralność i dostępność systemu czynią ją podatnością krytyczną.
▸ Pokaż oryginał (EN)
Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability
Podatność jest sklasyfikowana jako privilege escalation dotyczący środowiska Confidential Containers w AKS. Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N) wskazuje, że exploit może być przeprowadzony zdalnie. Wysoka złożoność ataku (AC:H) sugeruje, że skuteczne wykorzystanie podatności wymaga spełnienia szczególnych warunków lub precyzyjnego timing. Zakres ataku wykracza poza pierwotny komponent (S:C), co oznacza możliwość wpływu na zasoby poza granicą bezpieczeństwa kontenera.
Skuteczny atak pozwala na pełną eskalację uprawnień, potencjalnie umożliwiając przejęcie kontroli nad środowiskiem kontenerowym oraz dostęp do danych i zasobów wykraczających poza izolację kontenera, z pełnym naruszeniem poufności, integralności i dostępności.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21403. W środowiskach korzystających z AKS Confidential Containers zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oraz ograniczenie ekspozycji klastrów na ruch sieciowy z niezaufanych źródeł.
Microsoft Azure Kubernetes Service (AKS) — środowisko Confidential Containers; szczegółowe wersje wskazane w referencjach producenta.
Data publikacji podatności: 2024-02-13. Podatność dotyczy specyficznie funkcji Confidential Containers w AKS, przeznaczonej do przetwarzania danych wrażliwych w izolowanych środowiskach — naruszenie tej izolacji może mieć poważne konsekwencje dla środowisk wymagających wysokiego poziomu zaufania.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Kubernetes Service
APPMicrosoftwszystkie wersje
Powiązane podatności
Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień
RCE w Microsoft Azure Kubernetes Service Confidential Containers
Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability
Azure Virtual Machine Information Disclosure Vulnerability
Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability