CVE-2024-43403

Kanister (versões afetadas não especificadas)

O Kanister é uma ferramenta de gerenciamento de fluxos de trabalho para proteção de dados. O Kanister possui uma implantação chamada default-kanister-operator, que está vinculada a um ClusterRole chamado edit por meio de um ClusterRoleBinding. O ClusterRole “edit” é um dos ClusterRoles criados por padrão pelo Kubernetes e possui os verbos create/patch/update dos recursos daemonset, o verbo create dos recursos serviceaccount/token e o verbo impersonate dos recursos serviceaccounts. Um usuário mal-intencionado pode aproveitar o acesso ao nó de trabalho que possui esse componente para realizar uma escalada de privilégios no nível do cluster. Isso pode ser feito abusando dos verbos create/patch/update dos recursos daemonset para criar ou modificar um conjunto de Pods a fim de montar uma conta de serviço com privilégios elevados, ou usando o verbo create dos recursos serviceaccount/token para gerar novos tokens de conta de serviço e operar com funções de alto privilégio. Além disso, o verbo impersonate dos recursos serviceaccounts pode ser usado para se passar por contas de serviço com privilégios elevados, obtendo assim acesso a funções como administradores de cluster.

Para mitigar esse problema, defina o sinalizador rbac.create como false no gráfico Helm do Kanister, que controla se as regras RBAC para a conta de serviço do Kanister serão criadas. Isso exigirá que o usuário crie as regras RBAC por conta própria e limite as ligações de função para a conta de serviço do Kanister, por exemplo, o escopo