CRITICAL✓ PATCH🇬🇧 English

CVE-2024-21403

Privilege escalation w Azure Kubernetes Service Confidential Containers

CVSS 9.0v3.1pub. 2024-02-13upd. 2024-11-21

Podatność w Microsoft Azure Kubernetes Service (AKS) umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień w środowisku Confidential Containers. Wysoki wynik CVSS (9.0) oraz wpływ na poufność, integralność i dostępność systemu czynią ją podatnością krytyczną.

Pokaż oryginał (EN)

Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability

🤖 Analiza AI
Jak działa

Podatność jest sklasyfikowana jako privilege escalation dotyczący środowiska Confidential Containers w AKS. Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N) wskazuje, że exploit może być przeprowadzony zdalnie. Wysoka złożoność ataku (AC:H) sugeruje, że skuteczne wykorzystanie podatności wymaga spełnienia szczególnych warunków lub precyzyjnego timing. Zakres ataku wykracza poza pierwotny komponent (S:C), co oznacza możliwość wpływu na zasoby poza granicą bezpieczeństwa kontenera.

Skutki

Skuteczny atak pozwala na pełną eskalację uprawnień, potencjalnie umożliwiając przejęcie kontroli nad środowiskiem kontenerowym oraz dostęp do danych i zasobów wykraczających poza izolację kontenera, z pełnym naruszeniem poufności, integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21403. W środowiskach korzystających z AKS Confidential Containers zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oraz ograniczenie ekspozycji klastrów na ruch sieciowy z niezaufanych źródeł.

Kogo dotyczy

Microsoft Azure Kubernetes Service (AKS) — środowisko Confidential Containers; szczegółowe wersje wskazane w referencjach producenta.

Uwagi

Data publikacji podatności: 2024-02-13. Podatność dotyczy specyficznie funkcji Confidential Containers w AKS, przeznaczonej do przetwarzania danych wrażliwych w izolowanych środowiskach — naruszenie tej izolacji może mieć poważne konsekwencje dla środowisk wymagających wysokiego poziomu zaufania.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Kubernetes Service

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2026-33105CRITICAL10.0PL ✓ten sam produkt

Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień

CVE-2024-21376CRITICAL9.0PL ✓ten sam produkt

RCE w Microsoft Azure Kubernetes Service Confidential Containers

CVE-2023-29332HIGH7.5ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVE-2021-27075MEDIUM6.8ten sam produkt

Azure Virtual Machine Information Disclosure Vulnerability

CVE-2021-24109MEDIUM6.8ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability