В версии Kubernetes 1.29, выпущенной в феврале этого года, был устранен целый класс уязвимостей, позволявших выполнять команды с системными привилегиями на хостах Windows, работающих в кластере Kubernetes. Эти уязвимости были обнаружены исследователем из компании Akamai Томером Пеледом. Первая из них (CVE-2023-3676) была выявлена еще летом прошлого года. Дальнейший анализ позволил выявить еще две похожие уязвимости — CVE-2023-3955 и CVE-2023-3893 — а также CVE-2023-5528. Все они были связаны с недостаточно тщательной проверкой некоторых параметров в файлах формата Yaml, которые применяются для управления кластерами Kubernetes. В результате в параметры можно было вставлять команды, которые выполнялись на хосте с системой Windows в оболочке PowerShell.

Чтобы воспользоваться уязвимостями, злоумышленнику необходимо обладать правами на применение конфигурации, описанной в файле. Для устранения уязвимостей рекомендуется, как обычно, установить новую версию Kubernetes. Есть возможность также ликвидировать уязвимости, отключив некоторые функции, или заблокировав применение соответствующих Yaml-файлов c помощью инструмента Open Policy Agent.