Kritische Schwachstelle in Kubernetes Git-Sync entdeckt: Potenzielle Command Injection

Am 9. August 2024 enthüllte der Sicherheitsforscher Tomer Peled von Akamai eine schwerwiegende Designschwachstelle im Kubernetes-Sidecar-Projekt Git-Sync, die auf der DEF CON 2024 vorgestellt wird. Die Schwachstelle ermöglicht es Angreifern, durch manipulierte YAML-Dateien entweder Daten aus Pods zu exfiltrieren oder Kommandos mit den Rechten des Git-Sync-Benutzers auszuführen.

Diese Sicherheitslücke betrifft Standardinstallationen von Kubernetes auf allen Plattformen, einschließlich Amazon EKS, Azure AKS und Google GKE. Trotz der Schwere des Problems wurde noch keine CVE vergeben und es gibt derzeit keinen Patch. Kubernetes-Administratoren wird dringend empfohlen, ihre Systeme zu überwachen und die empfohlenen Mitigationsmaßnahmen zu ergreifen, um das Risiko zu minimieren.

Related Posts

Kritische Zero-Day-Zero-Click RCE Schwachstelle in Windows TCP/IP entdeckt

Microsoft hat am 13. August 2024 die kritische Sicherheitslücke CVE-2024-38063 im Windows TCP/IP-Stack veröffentlicht. Diese Zero-Day-Schwachstelle ermöglicht eine Remote Code Execution (RCE) ohne jegliche Benutzerinteraktion und hat eine CVSS-Bewertung von 9.8, was auf die Schwere des Problems hinweist. Der Fehler liegt in einem Integer-Underflow (CWE-191), der es Angreifern ermöglicht, über das Netzwerk Kontrolle über betroffene Systeme zu erlangen.

Read More

Kritische Sicherheitslücke in Zabbix: Direkter Zugriff auf Speicherzeiger im JS-Engine

Eine Memory Pointer Sicherheitslücke (CVE-2024-36461) wurde in der Open Source Monitoring-Software Zabbix gefunden. Die Lücke ermöglicht es Nutzern mit beschränkten Rechten, direkt auf Speicherzeiger innerhalb der JavaScript-Engine zuzugreifen und diese zu modifizieren. Dadurch besteht die Gefahr einer Remote Code Execution (RCE), die die gesamte Infrastruktur kompromittieren kann.

Read More

Bundesamt für Kartographie und Geodäsie (BKG) von staatlichen chinesischen Hackern ausspioniert

Am 31. Juli 2024 gab die Bundesregierung bekannt, dass ein schwerer Cyberangriff auf das Bundesamt für Kartographie und Geodäsie (BKG) im Jahr 2021 eindeutig staatlichen chinesischen Akteuren zugeordnet werden konnte. Nach Abschluss des nationalen Attribuierungsverfahrens, das unter der Federführung des Auswärtigen Amts durchgeführt wurde, wurde bestätigt, dass der Angriff der Spionage diente. Dabei infiltrierten die Angreifer das Netzwerk des BKG und nutzten kompromittierte Endgeräte von Privatpersonen und Unternehmen als Verschleierungsnetzwerk.

Read More