CVE-2023-39347

Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Un atacante con la capacidad de actualizar las etiquetas de los pods puede hacer que Cilium aplique políticas de red incorrectas. Este problema surge debido al hecho de que en la actualización del pod, Cilium utiliza incorrectamente etiquetas de pod proporcionadas por el usuario para seleccionar las políticas que se aplican a la carga de trabajo en cuestión. Esto puede afectar las políticas de red de Cilium que usan el espacio de nombres, la cuenta de servicio o las construcciones de clúster para restringir el tráfico, las políticas de red de todo el clúster de Cilium que usan etiquetas de espacio de nombres de Cilium para seleccionar las políticas de red de Pod y Kubernetes. Se pueden proporcionar nombres de construcciones inexistentes, que omiten todas las políticas de red aplicables a la construcción. Por ejemplo, proporcionar un pod con un espacio de nombres inexistente como valor de la etiqueta `io.kubernetes.pod.namespace` da como resultado que ninguna de las CiliumNetworkPolicies con espacios de nombres se aplique al pod en cuestión. Este ataque requiere que el atacante tenga acceso al servidor API de Kubernetes, como se describe en el modelo de amenazas de Cilium. Este problema se resolvió en: Cilium versiones 1.14.2, 1.13.7 y 1.12.14. Se recomienda a los usuarios que actualicen. Como workaround, se puede utilizar un webhook de admisión para evitar actualizaciones de etiquetas de pod en las claves `k8s:io.kubernetes.pod.namespace` y `io.cilium.k8s.policy.*`.