Una grave vulnerabilidad ha sido descubierta en Rancher, una plataforma de gestión de Kubernetes adquirida por SUSE en 2020. La falla, identificada como CVE-2025-23391, permite que un usuario con el rol de “Administrador Restringido” cambie la contraseña de un Administrador con mayores privilegios, accediendo así al control total del sistema, sin contar con permisos legítimos para realizar dicha acción.

¿Qué es Rancher y cuál es su relación con SUSE?

Rancher es una solución open-source que facilita la gestión de múltiples clústeres de Kubernetes desde una interfaz centralizada. Desde su compra por parte de SUSE, Rancher se ha convertido en una pieza clave dentro del ecosistema empresarial de la compañía para entornos cloud y contenedores.

Detalles del CVE-2025-23391

🛑 Tipo de fallo: Asignación incorrecta de privilegios (CWE-266)
🛑 Impacto: Escalada de privilegios, compromiso total del sistema
🛑 Condiciones: Acceso con credenciales válidas de “Administrador Restringido”
🛑 Interacción del usuario: No requerida
🛑 Exploit público disponible: No
🛑 Amenaza principal: Actores internos o atacantes con acceso previo

La vulnerabilidad se produce porque el sistema no valida correctamente los privilegios del usuario cuando se realizan operaciones sobre otras cuentas. Esto rompe el principio de “mínimo privilegio”, ya que cualquier “Administrador Restringido” puede cambiar contraseñas de usuarios con mayores privilegios, sin tener el permiso de “Manage Users”.

Versiones afectadas

  • 2.8.0 a 2.8.13
  • 2.9.0 a 2.9.7
  • 2.10.0 a 2.10.3

✅ La vulnerabilidad fue corregida a partir de la versión 2.11.0.
✅ También están disponibles parches para versiones previas: 2.8.14, 2.9.8 y 2.10.4.

Explotación

El atacante solo necesita estar autenticado con una cuenta de Administrador Restringido para modificar la contraseña de cualquier cuenta admin superior. Luego puede iniciar sesión como ese usuario y tomar control total del sistema. No se necesita ningún otro tipo de acceso o interacción del usuario víctima.

Recomendaciones inmediatas

  1. 🔄 Actualizar Rancher a versiones que no estén afectadas:
    • 2.8.14, 2.9.8, 2.10.4 o 2.11.0 (o superiores).
  2. 🔐 Restringir el rol de “Administrador Restringido”:
    • Limitar su uso solo a personal de alta confianza.
    • Considerar degradar esas cuentas a roles personalizados mientras se actualiza.
  3. 📋 Auditar usuarios y permisos:
    • Revisar qué cuentas tienen privilegios de administración.
    • Verificar que los administradores restringidos no puedan alterar cuentas superiores.
    • Buscar en los logs cambios sospechosos previos a la actualización.
  4. 🧩 Aplicar controles compensatorios y alertas:
    • Implementar monitoreo para detectar cambios en cuentas privilegiadas.
    • Difundir esta información entre los administradores para reforzar buenas prácticas.

Conclusión

Esta vulnerabilidad representa un serio riesgo de escalada de privilegios y toma de control total de Rancher en entornos productivos. Aunque no se han reportado casos de explotación activa, es crucial actualizar el sistema cuanto antes y aplicar medidas de mitigación temporales para proteger la infraestructura.

Fuente: https://unaaldia.hispasec.com

You May Also Like

Guía para Detectar y Evitar el Phishing y suplantación en correos Electrónicos

HKN FEED

La red de bots MyloBot se está extendiendo por todo el mundo llegando a infectar a más de 50 000 dispositivos al día

wpadmin001

Explotación de vulnerabilidades en VMware: Broadcom emite parches urgentes

HKN FEED