Una vulnerabilidad recientemente descubierta dentro de Rancher and Fleet, actualmente considerada de gravedad media a alta CVE-2024-22030 , puede explotarse en circunstancias concretas mediante un ataque de intermediario. Un atacante necesitaría tener control de un dominio caducado o ejecutar un ataque de suplantación/secuestro de DNS contra el dominio para poder explotar esta vulnerabilidad. El dominio de destino es el que se utiliza como URL de Rancher. SUSE no tiene conocimiento de ninguna explotación comercial de la vulnerabilidad descrita, que tiene un listón de alta complejidad para su explotación. A continuación, encontrará la solución recomendada para todos los clientes y usuarios de Rancher. 

Inicialmente contactado por un investigador externo en octubre, SUSE le proporcionó al investigador nuestra dirección de correo electrónico para enviarle cualquier inquietud de seguridad. El investigador respondió el miércoles 14 de febrero afirmando que tiene la intención de revelar la vulnerabilidad durante una presentación el 17 de febrero.

Detalles y remediación

Como se mencionó anteriormente, según nuestra investigación inicial, la vulnerabilidad descrita es difícil de explotar y un actor malicioso debe cumplir y ejecutar ciertas condiciones externas, fuera del control del servidor Rancher. Estos son: 

1. El atacante puede secuestrar el dominio utilizado para registrar Rancher (la URL del servidor del clúster de Rancher) o puede ejecutar un secuestro de DNS o suplantación de ese dominio.
2. El atacante puede generar un certificado válido para el dominio/DNS objetivo. 
3. El certificado es válido y lo genera una CA confiable que también se encuentra en el almacén de confianza del servidor Rancher de destino; o el certificado válido es generado por una CA válida que se configuró previamente en la instalación de Rancher. 
4. Si un atacante tiene éxito con los pasos 1 y 2, y si el 3 coincide, entonces se puede explotar la debilidad en la verificación de datos de CA de los agentes Rancher y Fleet.
   1. Nota: los clientes y usuarios que utilizan certificados firmados por sus propias CA privadas no parecen verse afectados por este problema, siempre y cuando no se filtre su clave de firma de CA.

Para solucionar el problema, los clientes y usuarios de SUSE Rancher deben seguir prácticas de seguridad estándar que incluyen: 

1. Asegúrese de controlar adecuadamente la caducidad y la propiedad del dominio utilizado como URL de Rancher (la URL del servidor del clúster de Rancher).
2. Evalúe habilitar DNSSEC como una forma de protegerse contra ataques de suplantación o secuestro de DNS. 
3. Supervise los intentos de secuestrar el dominio y el DNS.
4. Supervise los intentos de crear certificados falsos contra su dominio y la URL de Rancher.
   1. Servicios como crt.sh y otros monitores , del proyecto Certificate Transparency (CT), son buenos lugares para vigilar los certificados no autorizados.
5. Limpie y desmantele adecuadamente los clústeres no utilizados y los clústeres posteriores, en lugar de dejarlos atrás. Por ejemplo, clústeres posteriores que están activos mientras el servidor principal de Rancher ya no está disponible.
   1. Consulte más información sobre cómo eliminar componentes de Rancher de un clúster, para los casos en los que desmantelar todo el clúster no es una opción. 
6. Se proporcionarán más soluciones a medida que sigamos investigando este problema.

Como es habitual en la industria del software y la seguridad, SUSE ha trabajado estrechamente con muchos investigadores que han identificado de forma preventiva problemas de seguridad dentro de nuestras soluciones y que han dado a SUSE el tiempo adecuado para abordar esos problemas. Dicha notificación generalmente ocurre dentro de un período de 30 a 60 días antes de la divulgación. En esta situación particular, no se nos brindó la oportunidad de abordar la inquietud antes de que el investigador externo mencionado anteriormente la revelara. Naturalmente, el equipo de seguridad de Rancher está trabajando para desarrollar una solución para esta vulnerabilidad lo más rápido posible. Se proporcionarán más actualizaciones cuando estén disponibles. 

La seguridad y la fiabilidad siguen siendo de suma importancia para el equipo de SUSE. Si tiene alguna pregunta o inquietud, comuníquese con su contacto de SUSE o con el equipo de seguridad de SUSE en security-rancher@suse.com .