CVE-2025-7342

چکیده

آسیب‌پذیری استفاده از اعتبارنامه‌های پیش‌فرض هارد‌کدشده در Kubernetes Image Builder تا نسخه‌ 0.1.44 برای ایمیج های ویندوزی ساخته‌شده با ارائه‌دهندگان Nutanix یا OVA شناسایی شده است. اگر کاربر اعتبارنامه‌های پیش‌فرض را بازنویسی نکند، مهاجم می تواند از راه دور و از طریق SSH، RDP یا WINRM به nodeهای ویندوزی دسترسی پیدا کرده و سطح دسترسی root را به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-7342 از نوع استفاده از اعتبارنامه‌های هارد‌کدشده (مطابق با CWE-798) است که در پروژه Kubernetes Image Builder برای ساخت ایمیج ماشین مجازی (VM) ویندوزی با استفاده از ارائه‌دهندگان Nutanix یا OVA رخ می‌دهد. این آسیب پذیری به شرایطی اشاره دارد که اعتبارنامه‌ها به‌صورت پیش فرض و هارد‌کدشده در نرم‌افزار یا ایمیج ها ذخیره می‌شوند و امکان دسترسی غیرمجاز را فراهم می‌کنند.

در این مورد، ایمیج های ویندوزی ساخته‌شده توسط Image Builder، در صورتی که کاربر متغیر admin_password را در فایل JSON پیکربندی بازنویسی نکند، از اعتبارنامه‌های پیش‌فرض استفاده می‌کنند. این اعتبارنامه‌ها در طول فرآیند ساخت فعال باقی می‌مانند و در nodeهای ویندوزی که از این ایمیج ها استفاده می‌کنند، غیرفعال نمی‌شوند.

این آسیب پذیری به مهاجمان شبکه‌ای اجازه می‌دهد از طریق پروتکل‌های SSH، RDP، یا WINRM با استفاده از اعتبارنامه‌های پیش‌فرض به nodeهای ویندوزی دسترسی پیدا کنند که می‌تواند منجر به دسترسی administrator شود. حمله از راه دور قابل اجرا است، نیازمند تعامل کاربر برای استفاده از ایمیج آسیب‌پذیر است و به دلیل نیاز به دانش در مورد استفاده از ایمیج خاص، پیچیدگی دارد. پیامدهای این آسیب پذیری شامل دسترسی کامل به داده‌های حساس، تغییر تنظیمات یا داده‌ها و اختلال در عملکرد node است. این آسیب‌پذیری در Kubernetes Image Builder نسخه 0.1.45 و بالاتر با غیرفعال کردن اعتبارنامه‌های پیش‌فرض پچ شده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 نتیجه گیری

با توجه به شدت بالای آسیب‌پذیری CVE-2025-7342 و امکان دسترسی غیرمجاز به حساب Administrator روی nodeهای ویندوزی، کاربران Kubernetes Image Builder باید فوراً ایمیج‌های خود را به نسخه 0.1.45 یا بالاتر به‌روزرسانی کرده و روی nodeهای آسیب‌پذیر اعمال کنند. برای سیستم‌هایی که هنوز به‌روزرسانی نشده‌اند، تغییر رمز عبور حساب Administrator با دستور net user Administrator <new-password> می‌تواند ریسک دسترسی غیرمجاز را کاهش دهد. همچنین توصیه می‌شود نسخه نصب‌شده Image Builder با دستور make version بررسی شود یا تگ تصویر مرتبط با ایمیج کنترل گردد، و وضعیت حساب Administrator روی nodeهای ویندوزی با دستور Get-LocalUser -Name Administrator | Select-Object Name,Enabled,SID,LastLogon پایش شود. محدود کردن دسترسی شبکه به nodeهای ویندوزی از طریق فایروال و نظارت مستمر بر لاگ‌های ورود SSH، RDP و WINRM نیز ضروری است. اجرای این تدابیر به‌صورت یکپارچه می‌تواند امنیت خوشه Kubernetes را حفظ کرده و از دسترسی غیرمجاز جلوگیری کند.

امکان استفاده در تاکتیک های Mitre Attack

• Tactic (TA0006) – Credential Access
  Sub-technique (T1555.003) – Credentials from Password Stores / Hard-coded Credentials
  مهاجم می‌تواند اعتبارنامه‌های پیش‌فرض هاردکد شده در ایمیج‌های ویندوزی ساخته شده توسط Kubernetes Image Builder (نسخه ≤1.44) را استخراج کند. این اعتبارنامه‌ها در صورت عدم بازنویسی توسط کاربر، امکان دسترسی غیرمجاز به nodeهای ویندوزی را فراهم می‌کنند.
• Tactic (TA0003) – Persistence
  Sub-technique (T1053 – Scheduled Task/Job)
  با دسترسی به nodeهای ویندوزی، مهاجم می‌تواند دستورات یا اسکریپت‌هایی ایجاد کند که پس از راه‌اندازی مجدد سیستم یا nodeها اجرا شوند و حضور خود را حفظ کند.
• Tactic (TA0004) – Privilege Escalation
  Sub-technique (T1078 – Valid Accounts)
  استفاده از اعتبارنامه‌های پیش‌فرض امکان ارتقاء سطح دسترسی به Administrator یا root روی nodeهای ویندوزی را فراهم می‌کند و مهاجم می‌تواند کنترل کامل سیستم را به دست آورد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-7342
2. https://www.cvedetails.com/cve/CVE-2025-7342/
3. https://groups.google.com/g/kubernetes-security-announce/c/tuEsLUQu_PA
4. https://github.com/kubernetes/kubernetes/issues/133115
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7342
6. https://vulmon.com/exploitdetails?qidtp=maillist_oss_security&qid=08153630504b08b27b9cbfcada073578
7. https://vuldb.com/?id.320432
8. https://cwe.mitre.org/data/definitions/798.html