概要
A SentinelOneの研究者が発見した新たなセキュリティ脆弱性により、Kubernetes Container Storage Interface (CSI) Driver for Network File System (NFS) が不正なディレクトリ変更や削除を許可する可能性があることが明らかになりました。この脆弱性はCVE-2026-3864としてトラッキングされており、CVSS v3.1スコアは中程度の深刻度で6.5点です。
脆弱性の詳細
この脆弱性は、Kubernetes CSI Driver for NFSがvolume identifier内のsubDirパラメータを処理する方法に起因しています。通常、このパラメータはNFSサーバー上でボリュームがマウントされる特定のサブディレクトリを指定します。
しかし、脆弱なバージョンではユーザー供給の入力が適切に検証されないため、攻撃者は標準的なパストラバーサル文字(例:../)を使用して悪意のあるボリューム識別子を作成できます。
クラスタライフサイクルイベント中に、特にボリューム削除やクリーニング操作の際、CSIドライバーはこれらの変更された識別子を使用して削除する必要があるディレクトリを特定します。パストラバーサル文字が適切にクリーニングされないため、ドライバーは指定されたストレージエクスポート外の場所へとナビゲートさせられてしまいます。
影響
データの整合性への影響は重大ですが、この脆弱性を悪用するには特定のクラスタ権限が必要です。攻撃者は既にNFS CSIドライバーを明示的に参照するPersistentVolumesを作成できる権限を持っている必要があります。
対策と検出
セキュリティチームは、Kubernetes環境の評価を行い、潜在的な脆弱性を特定する必要があります。管理者はNFS CSIドライバーを使用しているすべてのPersistentVolumesのvolumeHandleフィールドを調査し、不審なトラバーサルシーケンスがないか確認します。
さらに、CSIコントローラーのログをレビューして異常なディレクトリ操作を探すべきです。特に、複数のトラバーサル文字が含まれるサブパスの削除を示すログエントリーを探すことが重要です。
対策
脆弱性のあるクラスタを保護するためには、CSI Driver for NFSをパッチ適用済みバージョンv4.13.1またはそれ以降にアップグレードすることが必要です。これにより、トラバーサルシーケンスに対する適切な検証が導入されます。
パッチが適用されるまで、管理者はPersistentVolumeの作成権限を信頼できる人間のみに制限し、NFSエクスポートをレビューしてドライバーによって書き込み可能なディレクトリが意図されたものだけであることを確認すべきです。
結論
この脆弱性はKubernetesのストレージメカニズムに対するセキュリティ上の重大な懸念を示しています。組織は速やかに対策を講じ、潜在的な脅威からシステムを保護する必要があります。
元記事: https://gbhackers.com/new-kubernetes-nfs-csi-vulnerability/