Kritische Schwachstelle in Kubernetes Git-Sync entdeckt: Potenzielle Command Injection
Am 9. August 2024 enthüllte der Sicherheitsforscher Tomer Peled von Akamai eine schwerwiegende Designschwachstelle im Kubernetes-Sidecar-Projekt Git-Sync, die auf der DEF CON 2024 vorgestellt wird. Die Schwachstelle ermöglicht es Angreifern, durch manipulierte YAML-Dateien entweder Daten aus Pods zu exfiltrieren oder Kommandos mit den Rechten des Git-Sync-Benutzers auszuführen.
Diese Sicherheitslücke betrifft Standardinstallationen von Kubernetes auf allen Plattformen, einschließlich Amazon EKS, Azure AKS und Google GKE. Trotz der Schwere des Problems wurde noch keine CVE vergeben und es gibt derzeit keinen Patch. Kubernetes-Administratoren wird dringend empfohlen, ihre Systeme zu überwachen und die empfohlenen Mitigationsmaßnahmen zu ergreifen, um das Risiko zu minimieren.