Red Hat OpenShift AI xizmatida jiddiy zaiflik: butun infratuzilma xavf ostida

Kiberxavfsizlik dunyosida yaqinda yana bir xavotirli xabar tarqaldi. Red Hat kompaniyasi CVE-2025-10725 raqamli zaiflik haqida xavfsizlik e’lonini chop etdi. Bu zaiflik OpenShift AI Service tizimiga taalluqli bo‘lib, oddiy foydalanuvchi huquqlariga ega shaxslar ham o‘z vakolatlarini oshirib, butun klasterning boshqaruvini qo‘lga kiritishi mumkin.

Zaiflikning mohiyati

Tizimdagi asosiy muammo — ClusterRoleBinding sozlamasida ortiqcha ruxsatlar berilganida. Bu esa kueue-batch-user-role ni barcha autentifikatsiyadan o‘tgan foydalanuvchilar bilan bog‘lab qo‘yadi. Natijada, dastlab cheklangan imkoniyatlarga ega foydalanuvchilar ham batch.kueue.openshift.io API orqali yangi Job va Pod yaratishi mumkin.

Shu orqali hujumchi zararli konteynerlarni ishga tushirib, oc yoki kubectl buyruqlari orqali xizmat hisoblarini yuqori vakolatli rollarga bog‘lashi, oxir-oqibat esa cluster-admin huquqini qo‘lga kiritishi mumkin. Bu esa tizimdagi barcha obyektlarga to‘liq kirish imkonini beradi.

Xavf darajasi

Zaiflikning CVSS 3.1 bahosi — 9.9 bo‘lib, bu eng yuqori darajadagi xavfga teng. U orqali:

maxfiy ma’lumotlar o‘g‘irlanishi,
xizmatlar ishdan chiqarilishi,
butun infratuzilmaning to‘liq nazoratga olinishi mumkin.

Ta’sir doirasi

Red Hat OpenShift AI 2.19 (RHEL 8)
Red Hat OpenShift AI 2.21 (RHEL 9)
registry.redhat.io/rhoai/odh-rhel8-operator
registry.redhat.io/rhoai/odh-rhel9-operator

Zaiflikdan foydalanish uchun kerak bo‘lgan shartlar

Foydalanuvchining haqiqiy (lekin past darajadagi) akkaunti bo‘lishi,
OpenShift AI xizmatiga ulanish imkoniyati,
Jupyter notebook yoki shunga o‘xshash interfeys orqali ishlash huquqi,
batch.kueue.openshift.io API bilan o‘zaro aloqa o‘rnatish imkoniyati.

Red Hat tomonidan taqdim etilgan yechimlar

Red Hat kompaniyasi tezkor tarzda yangilanishlarni chiqardi:

RHBA-2025:16984 — OpenShift AI 2.19 (RHEL 8) uchun,
RHBA-2025:16983 — OpenShift AI 2.21 (RHEL 9) uchun.

Administratorlar bu yamalarni zudlik bilan o‘rnatishlari kerak. Patch qo‘yilmaguncha esa vaqtinchalik chora sifatida muammoli ClusterRoleBinding ni olib tashlash va AI job yaratish huquqini faqat ishonchli foydalanuvchilarga berish tavsiya etiladi.

Xulosa

Red Hat ushbu zaiflikni “Muhim” deb tasniflagan bo‘lsa-da, uning oqibatlari “Kritik” darajaga yaqin. Chunki hujumchi tizimga to‘liq kirish uchun faqat oddiy foydalanuvchi akkauntiga ega bo‘lsa kifoya. Shu bois, OpenShift AI xizmatidan foydalanayotgan barcha tashkilotlar darhol yangilanishlarni joriy etishi va RBAC siyosatini qat’iy nazorat ostiga olishi zarur.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Red Hat OpenShift AI xizmatida jiddiy zaiflik: butun infratuzilma xavf ostida

Zaiflikning mohiyati

Xavf darajasi

Ta’sir doirasi

Zaiflikdan foydalanish uchun kerak bo‘lgan shartlar

Red Hat tomonidan taqdim etilgan yechimlar

Xulosa

Zaiflikning mohiyati

Xavf darajasi

Ta’sir doirasi

Zaiflikdan foydalanish uchun kerak bo‘lgan shartlar

Red Hat tomonidan taqdim etilgan yechimlar

Xulosa

Apple’da yangi zaiflik: Font Parser xatosi qurilmalarni xavf ostiga qo‘ydi

VMware Tools va Aria’dagi yangi (0-day) zaiflik: oddiy foydalanuvchi root huquqlarini egallashi mumkin

Google Chrome’da yangi xavfsizlik yangilanishi: 21 ta zaiflik bartaraf etildi