The Register (Jessica Lyons) signale une vulnérabilité majeure dans Red Hat OpenShift AI, identifiée comme CVE-2025-10725 et notée CVSS 9,9, permettant une élévation de privilèges depuis un compte faiblement privilégié jusqu’à administrateur de cluster. L’article a été publié le 1er octobre 2025.
🚨 La faille provient d’un ClusterRole nommé « kueue-batch-user-role » incorrectement lié au groupe system:authenticated. Cette liaison donne à toute entité authentifiée (ex. comptes de data scientists via Jupyter notebook) la permission de créer des Jobs OpenShift dans n’importe quel namespace.
Impact et scénario d’exploitation décrits: un compte peu privilégié peut planifier un job malveillant dans un namespace privilégié, le configurer pour s’exécuter avec un ServiceAccount à hauts privilèges, exfiltrer le jeton de ce compte, puis pivoter progressivement vers des comptes plus puissants jusqu’à obtenir un accès root sur les nœuds maîtres et conduire à une prise de contrôle complète du cluster (confidentialité, intégrité et disponibilité compromises).
🛠️ Mitigation recommandée par l’éditeur: retirer le ClusterRoleBinding qui relie « kueue-batch-user-role » au groupe system:authenticated, et accorder la permission de créer des jobs de manière granulaire selon le principe du moindre privilège; éviter d’accorder des permissions étendues aux groupes système. Red Hat qualifie la vulnérabilité d’« importante » (car nécessitant une authentification minimale) tandis que la NVD la considère critique. L’éditeur n’a pas indiqué si la faille a été exploitée.
Point de vue externe: Trey Ford (Bugcrowd) appelle à une correction urgente et à une approche « assume breach », avec vérification du correctif et investigations pour confirmer l’absence de compromission.
TTPs observables (selon la description de l’article):
- Création de Jobs dans des namespaces privilégiés via un rôle mal lié
- Exécution avec un ServiceAccount hautement privilégié
- Exfiltration de jetons de ServiceAccount
- Élévation de privilèges et pivot latéral jusqu’au root sur nœuds maîtres
Type d’article: article de presse spécialisé informant sur une vulnérabilité critique et ses mécanismes/mitigations.
🔗 Source originale : https://www.theregister.com/2025/10/01/critical_red_hat_openshift_ai_bug/?is=09685296f9ea1fb2ee0963f2febaeb3a55d8fb1eddbb11ed4bd2da49d711f2c7