红帽OpenShift AI高危漏洞可能导致混合云基础设施被完全接管
作者:微信文章Part01高危漏洞详情披露
红帽OpenShift AI服务中发现一个严重安全漏洞,攻击者在特定条件下可利用该漏洞提升权限并完全控制基础设施。OpenShift AI是一个用于大规模管理预测性和生成性人工智能(GenAI)模型生命周期的平台,支持混合云环境部署。该平台提供数据采集与准备、模型训练与微调、模型服务与监控以及硬件加速等功能。
该漏洞编号为CVE-2025-10725,CVSS评分为9.9分(满分10分)。红帽将其严重程度归类为"重要"而非"关键",因为远程攻击者需要先通过身份验证才能危害环境。
Part02权限提升风险分析
红帽在本周发布的公告中警告:拥有认证账户访问权限的低权限攻击者(例如使用标准Jupyter笔记本的数据科学家)可将其权限提升至完整的集群管理员。这将导致集群的机密性、完整性和可用性完全受损。攻击者可窃取敏感数据、中断所有服务并控制底层基础设施,最终造成平台及其托管的所有应用彻底沦陷。
受影响版本包括:
Red Hat OpenShift AI 2.19Red Hat OpenShift AI 2.21Red Hat OpenShift AI (RHOAI)
Part03缓解措施建议
红帽建议用户避免向系统级群组授予广泛权限,并特别指出"应移除将kueue-batch-user-role与system:authenticated群组关联的ClusterRoleBinding"。
公司补充说明:应根据最小权限原则,按需向特定用户或群组更精细地授予创建作业的权限。
参考来源:
Red Hat OpenShift AI Flaw Exposes Hybrid Cloud Infrastructure to Full Takeover
https://thehackernews.com/2025/10/critical-red-hat-openshift-ai-flaw.html
推荐阅读
电台讨论
页:
[1]