Podatność w External Secrets Operator w wersji v0.9.16 wynika z nieprawidłowo skonfigurowanych uprawnień, które umożliwiają atakującemu uzyskanie tokenu konta serwisowego. Zagrożenie jest krytyczne, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jego skutkiem może być pełne przejęcie kontroli nad środowiskiem.
▸ Pokaż oryginał (EN)
Insecure permissions in external-secrets v0.9.16 allows attackers to access sensitive data and escalate privileges by obtaining the service account's token.
Operator External Secrets zarządza synchronizacją sekretów z zewnętrznych systemów (np. Vault, AWS Secrets Manager) do Kubernetes. W wersji v0.9.16 uprawnienia przypisane do konta serwisowego operatora są nadmiernie szerokie lub błędnie skonfigurowane (CWE-277 — nieprawidłowo zachowane uprawnienia). Atakujący, który uzyska dostęp do środowiska, może pobrać token konta serwisowego, a następnie wykorzystać go do uzyskania dostępu do wrażliwych danych i eskalacji uprawnień w klastrze Kubernetes.
Atakujący może uzyskać dostęp do wrażliwych danych przechowywanych w sekretach oraz dokonać privilege escalation — potencjalnie przejmując pełną kontrolę nad klastrem Kubernetes lub zarządzanymi zasobami chmurowymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się audyt uprawnień kont serwisowych w klastrze Kubernetes oraz ograniczenie dostępu do tokenów kont serwisowych zgodnie z zasadą najmniejszych uprawnień (least privilege).
External Secrets Operator w wersji v0.9.16
Publiczny opis proof-of-concept dostępny jest pod adresem wskazanym w referencjach (gist.github.com/HouqiyuA). Podatność dotyczy wyłącznie wersji v0.9.16 zgodnie z opisem.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HExternal Secrets Operator
APPExternal-Secrets0.9.16
Powiązane podatności
External Secrets Operator: nieautoryzowany dostęp do sekretów między przestrzeniami nazw
External Secrets Operator reads information from a third-party service and automatically injects the values as...
External Secrets Operator is a Kubernetes operator that integrates external secret management systems. The ext...