Rancher Schwachstelle exponiert vSphere CPI- und CSI-Anmeldedaten
Am 24.10.2024 wurde eine schwerwiegende Sicherheitslücke (CVE-2022-45157) in Rancher veröffentlicht, die zur Exponierung von vSphere Cloud Provider Interface (CPI)- und Container Storage Interface (CSI)-Anmeldedaten führt. Diese Schwachstelle betrifft Rancher-Versionen ab 2.7.0, einschließlich der Versionen 2.8.0 und 2.9.0. Die Anmeldedaten werden im Klartext in Rancher-Objekten gespeichert, was das Risiko erhöht, dass unberechtigte Benutzer Zugang erhalten könnten.
Betroffen sind folgende Rancher-Objekte:
- Anmeldedaten im Klartext, die in Cluster-Templates und Terraform-Objekten gespeichert werden.
- Spezielle Konfigurationswerte (
spec.rkeConfig.chartValues.rancher-vsphere-cpiundspec.rkeConfig.chartValues.rancher-vsphere-csi), die von Cluster-Mitgliedern eingesehen werden können. - Konfigurationsdateien auf dem Dateisystem der bereitgestellten Cluster.
Benutzern wird dringend empfohlen, die Anmeldedaten für vSphere zu ändern, wenn ein unbefugter Zugriff vermutet wird, und auf die gepatchten Rancher-Versionen 2.8.9 oder 2.9.3 zu aktualisieren. Nach dem Update sollte ein speziell bereitgestelltes Skript ausgeführt werden, um sicherzustellen, dass keine gefährdeten Klartext-Anmeldedaten mehr in den Clustern vorhanden sind.
Für Rancher 2.7 wird kein Patch mehr bereitgestellt.