Vulnerabilidad en Cilium (CVE-2023-41333)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
27/09/2023
Última modificación:
30/09/2023
Descripción
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Un atacante con la capacidad de crear o modificar objetos CiliumNetworkPolicy en un espacio de nombres particular puede afectar el tráfico en un clúster Cilium completo, evitando potencialmente la aplicación de políticas en otros espacios de nombres. Al utilizar un `endpointSelector` manipulado que utiliza el operador `DoesNotExist` en la etiqueta `reserved:init`, el atacante puede crear políticas que eludan las restricciones del espacio de nombres y afecten a todo el clúster de Cilium. Esto incluye potencialmente permitir o denegar todo el tráfico. Este ataque requiere acceso al servidor API, como se describe en la sección Atacante del servidor API de Kubernetes del modelo de amenazas de Cilium. Este problema se resolvió en las versiones 1.14.2, 1.13.7 y 1.12.14 de Cilium. Como workaround, se puede utilizar un webhook de admisión para evitar el uso de `endpointSelectors` que utilizan el operador `DoesNotExist` en la etiqueta `reserved:init` en CiliumNetworkPolicies.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cilium:cilium:*:*:*:*:*:*:*:* | 1.12.14 (excluyendo) | |
| cpe:2.3:a:cilium:cilium:*:*:*:*:*:*:*:* | 1.13.0 (incluyendo) | 1.13.7 (excluyendo) |
| cpe:2.3:a:cilium:cilium:*:*:*:*:*:*:*:* | 1.14.0 (incluyendo) | 1.14.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página