Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng CVE nghiêm trọng trong Kubernetes Capsule phiên bản 0.10.3 và các phiên bản cũ hơn. Lỗ hổng này cho phép người dùng được xác thực trong các tenant inject các nhãn tùy ý vào các namespace hệ thống, phá vỡ hoàn toàn cơ chế cô lập đa-tenant, tạo ra một mối đe dọa mạng đáng kể.

Lỗ hổng này, được theo dõi với mã CVE-2025-55205 và có điểm CVSS là 9.9, cho phép kẻ tấn công vượt qua các rào cản bảo mật và truy cập các tài nguyên liên-tenant. Điều này có khả năng dẫn đến việc chiếm quyền điều khiển toàn bộ cluster Kubernetes.

Chi tiết về lỗ hổng CVE 2025-55205 và Cơ chế khai thác

CVE-2025-55205 đại diện cho một lỗi bảo mật đáng kể trong logic webhook xác thực namespace của Capsule. Cụ thể, lỗi này nằm trong tệp pkg/webhook/namespace/validation/patch.go.

Nguyên nhân gốc rễ của lỗ hổng bắt nguồn từ các kiểm tra điều kiện không đầy đủ. Hệ thống chỉ thực hiện xác thực quyền sở hữu tenant khi một namespace đã được gán nhãn tenant. Thiết kế thiếu sót này đã vô tình tạo ra một cơ chế bỏ qua nguy hiểm.

Các namespace hệ thống không có nhãn tenant mặc định trở nên đặc biệt dễ bị tấn công bởi việc inject nhãn trái phép. Vector tấn công này có nhiều điểm tương đồng với lỗ hổng CVE đã được công bố trước đó là CVE-2024-39690. Tuy nhiên, thay vì thao tác ownerReference, CVE-2025-55205 sử dụng kỹ thuật inject nhãn để đạt được các hiệu ứng phá hoại tương tự.

Kỹ thuật tấn công và Tác động trực tiếp

Người dùng tenant đã được xác thực có thể khai thác điểm yếu này để inject các nhãn độc hại vào các namespace hệ thống quan trọng. Những namespace này bao gồm kube-system, default, và capsule-system. Bằng cách này, kẻ tấn công có thể chiếm đoạt hiệu quả các môi trường vốn được bảo vệ nghiêm ngặt này.

Lỗ hổng này mở ra khả năng thực hiện một cuộc tấn công đa giai đoạn. Đầu tiên, kẻ tấn công inject các nhãn tùy ý vào các namespace hệ thống không được bảo vệ. Sau đó, chúng tận dụng các selector của TenantResource để giành quyền truy cập trái phép vào các tài nguyên liên-tenant.

Con đường khai thác này cho phép kẻ tấn công vượt qua các giới hạn quota tài nguyên đã đặt ra. Đồng thời, chúng có thể bỏ qua các chính sách mạng được cấu hình để cô lập. Quan trọng hơn, nó tiềm ẩn nguy cơ truy cập các cấu hình và bí mật nhạy cảm trên toàn bộ cluster.

Các nhà nghiên cứu bảo mật đã trình diễn cuộc tấn công bằng cách sử dụng một proof-of-concept (PoC). PoC này đã thành công trong việc inject nhãn vào namespace kube-system. Sau đó, nó tiếp tục tạo ra các đối tượng TenantResource độc hại để khai thác hệ thống nhãn đã bị xâm phạm. Thông tin chi tiết về tư vấn bảo mật liên quan có thể tìm thấy tại GitHub Security Advisory.

Điều đáng lưu ý là cuộc tấn công chỉ yêu cầu các quyền RBAC cơ bản. Bất kỳ người dùng tenant được xác thực nào có quyền vá namespace đều có khả năng thực hiện cuộc tấn công này.

Rủi ro và Ảnh hưởng đến môi trường Kubernetes đa-tenant

Lỗ hổng CVE này gây ra rủi ro nghiêm trọng và trực tiếp cho các môi trường Kubernetes đa-tenant. Nó đặc biệt ảnh hưởng đến các nhà cung cấp dịch vụ đám mây và các tổ chức lớn đang dựa vào Capsule để duy trì cơ chế cô lập tenant hiệu quả.

Tiềm năng leo thang đặc quyền, rò rỉ dữ liệu nhạy cảm và bỏ qua hạn ngạch tài nguyên biến đây thành một mối lo ngại an ninh mạng ưu tiên cao. Các hệ thống bị ảnh hưởng có nguy cơ bị chiếm quyền điều khiển hoàn toàn, đòi hỏi sự chú ý và hành động khắc phục ngay lập tức.

Biện pháp giảm thiểu và Cập nhật bản vá bảo mật

Để giảm thiểu rủi ro từ lỗ hổng CVE nghiêm trọng này, các tổ chức đang chạy Kubernetes Capsule phải nâng cấp ngay lập tức lên phiên bản 0.10.4. Việc áp dụng bản vá bảo mật này là hành động khẩn cấp để khắc phục lỗ hổng.

Mức độ nghiêm trọng của lỗi này, kết hợp với tiềm năng chiếm quyền điều khiển toàn bộ cluster, nhấn mạnh tầm quan trọng của các cơ chế xác thực và kiểm soát mạnh mẽ trong các kiến trúc bảo mật đa-tenant. Một cơ chế validation không đầy đủ có thể dẫn đến hậu quả nghiêm trọng.

Các nhóm an ninh mạng nên xem xét lại các triển khai Capsule hiện tại của họ một cách kỹ lưỡng. Đồng thời, họ cần triển khai các hệ thống giám sát phù hợp để phát hiện và cảnh báo kịp thời các nỗ lực khai thác tiềm năng. Thông tin chi tiết về CVE-2025-55205 và các chi tiết kỹ thuật khác có tại NVD NIST.